Node.js开发者快更新！底层OpenSSL漏洞允许第三方未授权存取

Node.js在上周五对所有分支版本释出更新，共修正3个漏洞，包含影响资料完整性与保密性的安全更新。

漏洞主要发生在Node.js的HTTP2、TLS模组和底层OpenSSL函式库沟通阶段，这项编号CVE-2017-15896的Node.js漏洞与OpenSSL的漏洞CVE-2017-3737直接相关。

OpenSSL开发者解释，SSL_read()以及SSL_write()两个函式可能因为之前的交握过程发生错误，而导致资料未被正确加密与解密。而骇客便可利用OpenSSL的这个漏洞，使用Node.js的TLS或HTTP/2模组绕过TLS的授权或加密动作传送资料。这个漏洞严重影响Node.js应用程序的资料安全，开发者应尽速将Node.js更新到以下版本，Node v9.2.1、Node v8.9.3、Node v6.12.2和Node v4.8.7。

值得一提的是，Node.js的这项漏洞仅影响TLS与HTTP/2模组，HTTP与HTTPS模组则不受影响。而此次Node.js的v8.x与v9.x还修正了可能会造成泄漏资料的未初始化缓存的漏洞CVE-2017-15897，不过因为这个漏洞还要加上其他程式码编写错误才会成立，因此严重性并不高。