Node v12.8.1 (Current) 发布,修复漏洞
Node v12.8.1 (Current) 已经发布,Node.js 和 其他 HTTP/2 的实现,已被发现易受拒绝服务攻击,该版主要修复存在漏洞: CVE-2019-9511 “Data Dribble”:攻击者通过多个流请求来自指定资源的大量数据。它们操纵窗口大小和流优先级,迫使服务器以 1 字节块对数据进行排队。这依赖数据排队的效率,可能会消耗过多的 CPU、内存,导致拒绝服务。 CVE-2019-9512 “Ping Flood”:攻击者不断向 HTTP/2 对等点发送 ping,导致对等方构建内部响应队列。它依赖数据排队的效率,可能会消耗过多的 CPU、内存,导致拒绝服务。 CVE-2019-9513 “Resource Loop”:攻击者创建多个请求流,并不断地调整流的优先级,从而导致优先级树的混乱。这会消耗过多的 CPU,可能导致拒绝服务。 CVE-2019-9514 “Reset Flood”:攻击者打开多个流,并在每个流上发送无效请求,请求来自对等方的 RST_Flow 帧流。这依赖对等方如何对 RST_Flow 帧进行排队,可能会消耗过多的内存、CPU,导致拒绝...
