Node.js v14.20.1、16.17.1 & 18.9.1 发布

Node.js 发布了 3 个更新，分别是 14.20.1 (LTS)、16.17.1 (LTS) 和 18.9.1。三个版本的主要更新都是修复安全问题。

14.20.1 (LTS)

• CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS（高危）
• CVE-2022-32213: 通过 obs-fold 机制实现的绕过（中等）
• CVE-2022-35256: 由于对 Header Fields 的解析不正确，出现 HTTP Request Smuggling 问题（中等）

16.17.1 (LTS)

• CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS（高危）
• CVE-2022-32213: 通过 obs-fold 机制实现的绕过（中等）
• CVE-2022-35255: WebCrypto 密钥中的弱随机性
• CVE-2022-35256: 由于对 Header Fields 的解析不正确，出现 HTTP Request Smuggling 问题（中等）

18.9.1

• CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS（高危）
  • 对 v18.5.0 上的 macOS 设备未完全修复
• CVE-2022-32222: 在 macOS 上启动时从 /home/iojs/build/ 读取openssl.cnf（中等）
• CVE-2022-32213: HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium)
  • Insufficient fix on v18.5.0
• CVE-2022-32215: HTTP Request Smuggling - Incorrect Parsing of Multi-line Transfer-Encoding (Medium)
  • Insufficient fix on v18.5.0
• CVE-2022-35256: 由于对 Header Fields 的解析不正确，出现 HTTP Request Smuggling 问题（中等）
• CVE-2022-35255: WebCrypto 密钥中的弱随机性

下载地址