您现在的位置是：首页 > 文章详情

Node.js HTTP/2 CONTINUATION 拒绝服务漏洞

日期：2024-04-05点击：183收藏

漏洞描述

Node.js 是开源、跨平台的 JavaScript 运行时环境。CONTINUATION泛洪攻击被发现存在于多个HTTP/2协议实现中。

在受影响版本中，由于Node.js针对HTTP/2协议的实现不当，未正确处理多个CONTINUATION帧的情况，在node::http2::Http2Session::~Http2Session()中存在条件竞争可触发断言。

攻击者可以通过向发送HEADERS帧后连续发送大量CONTINUATION帧，造成服务端内存耗尽拒绝服务。

漏洞名称	Node.js HTTP/2 CONTINUATION 拒绝服务漏洞
漏洞类型	可达断言
发现时间	2024-04-04
漏洞影响广度	一般
MPS编号	MPS-i9bf-a843
CVE编号	CVE-2024-27983
CNVD编号	-

node.js@[20.0, 20.12.1)

node.js@(-∞, 18.20.1)

node.js@[21.0, 21.7.2)

nodejs@(-∞, 18.20.1+dfsg-1)

将组件 nodejs 升级至 18.20.1+dfsg-1 及以上版本

将 node.js 升级至 20.12.1 及以上版本

将组件 node.js 升级至 18.20.1 及以上版本

将组件 node.js 升级至 21.7.2 及以上版本

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。