阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3008阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-5941:Node.Js反序列化远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。 m&I5~kD  
-;s-*$I  
F#>^S9Gml  
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。 >sZ207*  

<x->.R_  
Hphfqdh0`  
漏洞编号:  Z5[f  
CVE-2017-5941 8 aC]" C  
y0b FzR9  
1 GB  
漏洞名称: iTpK:p X  
Node.Js反序列化远程代码执行 'i7!"Y6>  
^hIKDc!.m  
PTf.(B"z  
官方评级: O~u@J'4  
高危 5;yVA  
M\w%c5  
2I qvd  
漏洞描述: "PtOe[Xk  
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。并且Nodejs服务端必须存在接收序列化的数据接口。 h_?#.z0ih;  
rxM)SC;P  
7nOn^f D  
漏洞利用条件和方式: 0ofl,mXW  
系统存在Node.js,并且存在node-serialize库,可以远程利用该漏洞执行代码。 L |pJ\~  
GTBT0$9 g.  
%n<.)R  
漏洞影响范围: >x 6$F*:W}  
  • Node.js全版本受影响
.0H!B#9  
/ar/4\b  
 U<Z\jT[  
漏洞修复建议(或缓解措施): sXmo.{Ayb  
 l6uU S  
@[] A&)B  
u, Rhm-`  
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:https://github.com/luin/serialize  ~hxo_&  
临时解决方案: Z d]2>h  
  • 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏;
  • 确保Serialize字符串仅内部发送;
  • 使用公钥(RAS)加密Serialize字符串,确保字符串不被篡改。
i[M]d`<36  
情报来源: 2xJT!lN  
  • http://www.ywclub.org/?p=819
  • https://github.com/luin/serialize
A_\ZY0Xt  
^FZ7)T  
TV&4m5  
B>TI dQ  
<(<19t5.  
H@R2mw  
:.,3Zw{l  
;zl/  
_-.~>C  
9v2(cpZ  
NXyuv7%5=  
8;r7ksE~  
[ 此帖被正禾在2017-02-11 07:53重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 55 - 51 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)