Node.js開發者快更新！底層OpenSSL漏洞允許第三方未授權存取

Node.js在上週五對所有分支版本釋出更新，共修正3個漏洞，包含影響資料完整性與保密性的安全更新。

漏洞主要發生在Node.js的HTTP2、TLS模組和底層OpenSSL函式庫溝通階段，這項編號CVE-2017-15896的Node.js漏洞與OpenSSL的漏洞CVE-2017-3737直接相關。

OpenSSL開發者解釋，SSL_read()以及SSL_write()兩個函式可能因為之前的交握過程發生錯誤，而導致資料未被正確加密與解密。而駭客便可利用OpenSSL的這個漏洞，使用Node.js的TLS或HTTP/2模組繞過TLS的授權或加密動作傳送資料。這個漏洞嚴重影響Node.js應用程式的資料安全，開發者應盡速將Node.js更新到以下版本，Node v9.2.1、Node v8.9.3、Node v6.12.2和Node v4.8.7。

值得一提的是，Node.js的這項漏洞僅影響TLS與HTTP/2模組，HTTP與HTTPS模組則不受影響。而此次Node.js的v8.x與v9.x還修正了可能會造成洩漏資料的未初始化緩存的漏洞CVE-2017-15897，不過因為這個漏洞還要加上其他程式碼編寫錯誤才會成立，因此嚴重性並不高。