开发者社区> 问答> 正文

【漏洞公告】CVE-2017-5941:Node.Js反序列化远程代码执行漏洞

正禾 2017-02-11 07:52:32 3061
Node.js是一个Javascript运行环境(runtime)。实际上它是对Google V8引擎进行了封装。V8引擎执行Javascript的速度非常快,性能非常好。Node.js对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。


Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。



漏洞编号:
CVE-2017-5941


漏洞名称:
Node.Js反序列化远程代码执行


官方评级:
高危


漏洞描述:
Node.js存在反序列化远程代码执行漏洞,Node.js的node-serialize库中存在一个漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码(未信任数据)达到反序列化远程任意代码执行的效果。并且Nodejs服务端必须存在接收序列化的数据接口。


漏洞利用条件和方式:
系统存在Node.js,并且存在node-serialize库,可以远程利用该漏洞执行代码。


漏洞影响范围:
  • Node.js全版本受影响



漏洞修复建议(或缓解措施):



厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: https://github.com/luin/serialize
临时解决方案:
  • 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏;
  • 确保Serialize字符串仅内部发送;
  • 使用公钥(RAS)加密Serialize字符串,确保字符串不被篡改。

情报来源:
  • http://www.ywclub.org/?p=819
  • https://github.com/luin/serialize












安全 JavaScript 前端开发 测试技术 数据安全/隐私保护
分享到
取消 提交回答
全部回答(0)

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题
推荐课程