[情報] Node.js發布安全更新，修補可能導致服務

看板Ajax作者EijiHoba (我要好工作)時間4天前 (2026/03/29 00:04)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

Node.js發布安全更新，修補可能導致服務中斷與程式當機的漏洞文/張明德|2026-03-26發表常用於網站後端應用的開源JavaScript執行環境Node.js，於3月24日發布安全更新，修補 9個漏洞，包括可能導致服務中斷與程式當機的高風險漏洞，建議使用者盡速更新。這9個漏洞中，最受矚目的是高風險漏洞CVE-2026-21637，由於TLS錯誤處理問題，當TLS 用戶端傳送異常的servername值時，可能導致Node.js程式當機。另一個是同屬高風險漏洞的CVE-2026-21710，由於Node.js的HTTP標頭處理缺陷，當收到特定標頭名稱時，可能引發拒絕服務的狀況。另有一個編號CVE-2026-21714的漏洞，雖然嚴重程度只有中等，但惡意用戶端可利用 Node.js HTTP/2伺服器的流量控制缺陷，透過發送錯誤的WINDOW_UPDATE訊框（frame），造成記憶體洩漏（memory leak）與資源耗盡，進而引發拒絕服務。前述漏洞會影響Node.js的20.x、22.x、24.x與25.x等版本，解決辦法是升級到各版本的修補版本，包括20.20.2、22.22.2、24.14.1，以及25.8.2以後的版本。 https://www.ithome.com.tw/news/174705 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.248.21.221 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Ajax/M.1774713872.A.5C4.html