Sicherheitsupdates
Schwachstellen bei Node.js wirken sich direkt auf Express aus. Daher sollten Sie ein Auge auf Schwachstellen bei Node.js haben und sicherstellen, dass Sie die aktuelle stabile Version von Node.js haben.
Die folgende Liste enthält die Express-Schwachstellen, die im angegebenen Versionsupdate behoben wurden.
4.x
- 4.11.1
- Offenlegungsgefahr beim Rootpfad in
express.static,res.sendfileundres.sendFilebehoben.
- Offenlegungsgefahr beim Rootpfad in
- 4.10.7
- Offene Umadressierungsschwachstelle in
express.static(Empfehlung, CVE-2015-1164) behoben.
- Offene Umadressierungsschwachstelle in
- 4.8.8
- Schwachstellen durch Directory-Traversal-Technik in
express.static(Empfehlung , CVE-2014-6394) behoben.
- Schwachstellen durch Directory-Traversal-Technik in
- 4.8.4
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
fdaufweisen, die sich aufexpress.staticundres.sendfileauswirken. Böswillige Anforderungen können zu Lecks beifdführen und letztendlichEMFILE-Fehler nach sich ziehen und bewirken, dass Server nicht antworten.
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
- 4.8.0
- Sparse-Arrays mit extrem hohen Indizes in der Abfragezeichenfolge können bewirken, dass für die Prozessausführung nicht genügend Arbeitsspeicher zur Verfügung steht und es zu einem Serverabsturz kommt.
- Extrem verschachtelte Abfragezeichenfolgenobjekte können bewirken, dass der Prozess blockiert und der Server dadurch vorübergehend nicht antwortet.
3.x
- 3.19.1
- Offenlegungsgefahr beim Rootpfad in
express.static,res.sendfileundres.sendFilebehoben.
- Offenlegungsgefahr beim Rootpfad in
- 3.19.0
- Offene Umadressierungsschwachstelle in
express.static(Empfehlung, CVE-2015-1164) behoben.
- Offene Umadressierungsschwachstelle in
- 3.16.10
- Schwachstellen durch Directory-Traversal-Technik in
express.staticbehoben.
- Schwachstellen durch Directory-Traversal-Technik in
- 3.16.6
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
fdaufweisen, die sich aufexpress.staticundres.sendfileauswirken. Böswillige Anforderungen können zu Lecks beifdführen und letztendlichEMFILE-Fehler nach sich ziehen und bewirken, dass Server nicht antworten.
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
- 3.16.0
- Sparse-Arrays mit extrem hohen Indizes in der Abfragezeichenfolge können bewirken, dass für die Prozessausführung nicht genügend Arbeitsspeicher zur Verfügung steht und es zu einem Serverabsturz kommt.
- Extrem verschachtelte Abfragezeichenfolgenobjekte können bewirken, dass der Prozess blockiert und der Server dadurch vorübergehend nicht antwortet.
- 3.3.0
- Die Antwort 404 bei einem nicht unterstützten Überschreibungsversuch war anfällig gegen Cross-Site Scripting-Attacken.