【漏洞公告】CVE-2017-5941:Node.Js反序列化远程代码执行漏洞
Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。
漏洞编号:
CVE-2017-5941
漏洞名称:
Node.Js反序列化远程代码执行
官方评级:
高危
漏洞描述:
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。并且Nodejs服务端必须存在接收序列化的数据接口。
漏洞利用条件和方式:
系统存在Node.js,并且存在node-serialize库,可以远程利用该漏洞执行代码。
漏洞影响范围:
- Node.js全版本受影响
漏洞修复建议(或缓解措施):
厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: https://github.com/luin/serialize
临时解决方案:
- 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏;
- 确保Serialize字符串仅内部发送;
- 使用公钥(RAS)加密Serialize字符串,确保字符串不被篡改。
情报来源:
- http://www.ywclub.org/?p=819
- https://github.com/luin/serialize
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
