Node.js 正面臨兩個重要安全漏洞，計劃下周修復

Node.js 基金會披露了一個拒絕服務和一個界外訪問漏洞，計劃下周提供補丁升級修復這兩個關鍵漏洞。

Node.js 基金會今天發布公告，最受歡迎的服務端 JavaScript 平臺包含 "一個高強度的拒絕服務漏洞" 和 "一個低強度的 V8 界外訪問漏洞" 。V8 是 Google 開發的 JavaScript 引擎。Node.js 官方把 DoS 漏洞標記為 CVE (Common Vulnerabilities and Exposures) 2015-8027，訪問漏洞標記為 CVE-2015-6764。

"我們之前有兩個未關閉的安全漏洞，計劃會在 12 月 2 日周三修復。" Node.js 基金會管理者 Mikeal Rogers 透露。漏洞將會通過補丁提供在 nodejs.org，并且這些漏洞尚未被利用。

在這份公告中，DoS 漏洞被認為是廣泛存在于 Node.js 版本，v0.12.x - v5.x 版本。而界外訪問漏洞則影響較小，主要是 v4.x - v5.x 版本。

盡管這兩個安全漏洞非常嚴重，但是 Node.js 基金會始終強調，Node.js 用戶無需擔心，這些對社區的影響非常小，這兩個漏洞也是 Node.js 安全計劃中的一部分，Node.js 基金會將會嚴肅對待，并且很快給予升級。

Rogers 還說，自從基金會 Node.js 加入 Linux 基金會以來，Node.js 的安全性提升了很多，有了更多的常規充分的安全策略。

via infoworld.com