Security aktualizácie
Vulnereabilita (zraniteĺnosť) Node.js priamo ovplyvňuje Express. Preto sledujte vulnereabilitu Node.js a uistite sa, že používate poslednú stable verziu Node.js.
Zoznam nižšie obsahuje objavené a opravené vulnereability Express-u v špecifických verziách updatov.
POZN.: Ak si myslíte, že ste objavili security vulnerabilitu Express-u, prosím pozrite si Security Policies and Procedures.
4.x
- 4.11.1
- Opravená vulnereabilita sprístupnenia root path-u v
express.static,res.sendfileares.sendFile
- Opravená vulnereabilita sprístupnenia root path-u v
- 4.10.7
- Opravená open redirect vulnereabilita v
express.static(advisory, CVE-2015-1164).
- Opravená open redirect vulnereabilita v
- 4.8.8
- Opravená directory traversal vulnerabilita v
express.static(advisory , CVE-2014-6394).
- Opravená directory traversal vulnerabilita v
- 4.8.4
- Node.js 0.10 obsahuje leak
file descriptorovčo v určitých situáciách ovplyvňujeexpress.staticares.sendfile. Malicious (škodlivé) requesty môžu spôsobiť leakovaniefile descriptorova môžu eventuálne viesť kEMFILEerrorom a neresponzívnosti servera.
- Node.js 0.10 obsahuje leak
- 4.8.0
- Sparse polia s extrémne vysokými indexami v query stringoch môžu spôsobiť, že pre realizáciu procesu nie je dostatok pamäte a následne crash servera.
- Extrémne vnorené query string objekty môžu spôsobiť zablokovanie procesu a dočasnú neresponzívnosť servera.
3.x
Express 3.x UŽ NIE JE VIAC UDRŽIAVANÝ
Známe aj neznáme security problémy v 3.x už neboli viac riešené od poslednej aktualizácie (1 August, 2015). Používanie verzie 3.x by nemalo byť považované za bezpečné.
- 3.19.1
- Opravená vulnereabilita sprístupnenia root path-u v
express.static,res.sendfile, andres.sendFile
- Opravená vulnereabilita sprístupnenia root path-u v
- 3.19.0
- Opravená open redirect vulnereabilita v
express.static(advisory, CVE-2015-1164).
- Opravená open redirect vulnereabilita v
- 3.16.10
- Opravená directory traversal vulnerabilita v
express.static.
- Opravená directory traversal vulnerabilita v
- 3.16.6
- Node.js 0.10 obsahuje leak
file descriptorovčo v určitých situáciách ovplyvňujeexpress.staticares.sendfile. Malicious (škodlivé) requesty môžu spôsobiť leakovaniefile descriptorova môžu eventuálne viesť kEMFILEerrorom a neresponzívnosti servera.
- Node.js 0.10 obsahuje leak
- 3.16.0
- Sparse polia s extrémne vysokými indexami v query stringoch môžu spôsobiť, že pre realizáciu procesu nie je dostatok pamäte a následne crash servera.
- Extrémne vnorené query string objekty môžu spôsobiť zablokovanie procesu a dočasnú neresponzívnosť servera.
- 3.3.0
- Odpoveď 404-ka na pokus o nepodporovaný method override bola náchylná na cross-site scripting útok.