欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1159|回复: 0

[安全通知] 关于Node.js 8.5.0任意文件读取漏洞通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33880
威望
13973
发表于 2017-10-10 20:44:28 |显示全部楼层
尊敬的腾讯云客户:
  您好!近日,腾讯云安全中心监测到Node.js官方修复了一处高风险漏洞,该漏洞在一定条件下可导致服务器敏感文件被黑客窃取(漏洞编号:CVE-2017-14849),攻击者可利用该漏洞读取服务器任意文件
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵,详细参考如下:

【漏洞概述】
   Node.js 8.5.0由于路径校验不严,导致存在任意文件读取漏洞(CVE-2017-14849),
被黑客利用可读取服务器任意文件

【风险等级】
   高风险

【漏洞风险】
   
读取服务器上的任意文件         

【影响版本】
   目前已知受影响版本如下:
   1)Node.js 8.5.0 + express 3.19.0-3.21.2
   2)Node.js 8.5.0 + express 4.11.0-4.15.5

【安全版本】
   Node.js 8.6.0 、Node.js 4.x 、Node.js 6.x

【修复建议】
   目前该漏洞主要影响8.5.0版本的
Node.js,其他版本暂不受影响,官方目前已经在8.6.0版本修复了该漏洞,如果您需要使用到nodejs的新特性,您可以升级到对应的最新版本
   Node.js安全版本下载地址https://nodejs.org/en/download/current/

【漏洞参考】
   https://nodejs.org/en/blog/vulnerability/september-2017-path-validation/


2017/10/10

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-10-24 11:56 , Processed in 1.126941 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部