В Node.js исправлены 2 уязвимости отказа в обслуживании

Разработчики Node.js сообщили об исправлении двух уязвимостей , позволяющих удаленному пользователю осуществить DoS-атаку на целевую систему. Бреши затрагивают все актуальные версии Node.js – 0.12.x, 4.x и 5.х. Выпуск обновлений, включающих в себя исправления, назначен на 2 декабря нынешнего года.

Уязвимости CVE-2015-8027 разработчики присвоили высокий рейтинг опасности. Брешь существует из-за неизвестной ошибки, позволяющей удаленному пользователю осуществить DoS-атаку на целевую систему. Все актуальные версии Node.js подвержены данной уязвимости. Подробная информация о бреши будет разглашена в день выхода исправленных версий Node.js. Разработчики рекомендуют немедленно применить обновление для устранения уязвимости.

Брешь CVE-2015-6764 имеет средний рейтинг опасности. По словам разработчиков, она существует из-за ошибки выхода за пределы границ памяти в версиях 4.х и 5.х и позволяет удаленному пользователю с помощью специально сформированного запроса осуществить DoS-атаку на целевую систему. Отметим, что уязвимость может быть проэксплуатирована лишь в случае, если злоумышленник может выполнить пользовательский скрипт в приложении Node.js. Подробная информация об уязвимости также будет доступна лишь после выхода исправленных версий.

Node или Node.js — программная платформа, основанная на движке V8 (транслирующем JavaScript в машинный код), превращающая JavaScript из узкоспециализированного языка в язык общего назначения. Node.js добавляет возможность JavaScript взаимодействовать с устройствами ввода-вывода через свой API (написанный на C++), подключать другие внешние библиотеки, написанные на разных языках, обеспечивая вызовы к ним из JavaScript-кода.