| CVE編號 | CVE-2015-1788 |
|---|---|
| 影響產品 | 建議更新至node.js-v0.12.6、io.js-v2.2.3、io.js-v1.8.3 |
| 解決辦法 | 請參考以下網頁進行軟體更新 node.js:http://blog.nodejs.org/2015/07/03/node-v0-12-6-stable/ io.js:https://github.com/nodejs/io.js/blob/v2.3.3/CHANGELOG.md 與https://github.com/nodejs/io.js/blob/v1.8.3/CHANGELOG.md |
| 張貼日 | 2015-07-07 |
| 上稿單位 | TWCERT/CC |
•node.js是一個自由開源軟體專案,目前由Joyent公司負責,被廣泛用來開發網站應用,目的是要提供一個平臺讓開發者透過編寫JavaScript程式語言,建立和運行大規模的網路應用、檔案系統或者與其他I/O裝置溝通的程式,開發者可以在這個平臺上建立模組。io.js 1.0基於最新版的Chrome V8引擎(Chrome V8 JavaScript Engine)所建立,之後將跟著V8的更新步調,與最新版本V8引擎中的語法、API及平台整合,同時也將更新 libuv 和其他的基礎資料庫。
•網路應用程式若使用V8 JavaScript Engine的Node.js或io.js,存在字串轉換的弱點
•駭客可能使用該弱點造成阻斷服務攻擊(DoS)