Системные администраторы, готовьтесь. В течение следующих 48 часов Node.js представит важное обновление, содержащее исправление сразу нескольких уязвимостей. Проблеме CVE-2015-8027 был присвоен высокий уровень опасности, так как уязвимость позволяет осуществить удаленную DoS-атаку.
Самым опасным багом, который должно исправить грядущее обновление, признан именно CVE-2015-8027. Уязвимости подвержены все версии Node.js, начиная с v0.12.x и заканчивая v5. Однако проблема не касается версий 0.10.x. О самой уязвимости, которая позволяет реализовать удаленную атаку, в информационном бюллетене почти ничего не сказано. Это совсем неудивительно, так как это 0day.
Вторая уязвимость — CVE-2015-6764 имеет средний уровень опасности и описывается как out-of-bounds access баг, распространяющийся на версии v4.x и v5.x. Атакующий может спровоцировать ошибку OOB или осуществить DoS-атаку, но только выполнив собственный JavaScript в приложении Node.js.
Представители Node.js отмечают, что эксплоитов для этих уязвимостей не существует, и хакеры их не использовали.
Патч должен был выйти еще вчера, 1 декабря 2015 года, но релиз был отложен в связи с выходом исправления для OpenSSL, которое ожидается 3 декабря. Дождавшись обновления от коллег, разработчики Node.js включат его в состав собственного патча, выход которого теперь запланирован на 4 декабря 2015 года.
Фото: nodejs.org
