阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3015阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-5941:Node.Js反序列化远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。 y2B'0l  
N7q6pBA"E  
t ,EMyZ  
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。 D;:p6q}hT  

/*6[Itm_h  
9+Wf*:*EW  
漏洞编号: F$s:\ N  
CVE-2017-5941 a!j{A?7Kw.  
h5n@SE>G  
Nah\4-75&  
漏洞名称: }?CKE<#%  
Node.Js反序列化远程代码执行 n&Q0V.  
s?9`dv} P  
Rx@0EPV  
官方评级: ziQ&M\  
高危 D4{<~/oBv  
GG4FS  
"`KT7  
漏洞描述: :c:}_t{%  
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。并且Nodejs服务端必须存在接收序列化的数据接口。 HSACaTVK  
Gg^gK*D  
~'Korxa  
漏洞利用条件和方式: `@&WELFv{  
系统存在Node.js,并且存在node-serialize库,可以远程利用该漏洞执行代码。 0.~s>xXp  
cf\GC2+"^$  
T|--ZRYn  
漏洞影响范围: OFZo"XtF  
  • Node.js全版本受影响
3'55!DE  
aC3Qmo6?m  
=>e> r~cW  
漏洞修复建议(或缓解措施): j 9f QV  
yi<H }&  
Q*9Y.W.8  
k4J Tc2b  
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:https://github.com/luin/serialize .aC/ g?U  
临时解决方案:  {T5u"U4  
  • 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏;
  • 确保Serialize字符串仅内部发送;
  • 使用公钥(RAS)加密Serialize字符串,确保字符串不被篡改。
<,t6A?YoMP  
情报来源: Vo(bro4ZQi  
  • http://www.ywclub.org/?p=819
  • https://github.com/luin/serialize
FY,)iZ}Pq  
K{iC'^wP  
I7;|`jN5K  
I9sQPa  
<@>l9_=R  
M ~6 $kT  
1+Q@RiW  
N LSJ D  
j HEt   
Hw,@oOh.  
#?DoP]1Y  
? RI D4xu!  
[ 此帖被正禾在2017-02-11 07:53重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)