來自 Red Hat 安全性公告 2019:2925： 現已提供適用於 Red Hat Enterprise Linux 8 的 nodejs:10 模組更新。 Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。 Node.js 是一個軟體開發平台，可使用 JavaScript 程式設計語言建置快速且可擴充的網路應用程式。 下列套件已升級到更新的上游版本： nodejs (10.16.3)。 安全性修正： * HTTP/2：大量的資料要求導致拒絕服務 (CVE-2019-9511) * HTTP/2：使用 PING 框架的溢流，會導致無限的記憶體增長 (CVE-2019-9512) * HTTP/2：使用 PRIORITY 框架的溢流，導致過多的資源消耗 (CVE-2019-9513) * HTTP/2：使用 HEADERS 框架的溢流，會導致無限的記憶體增長 (CVE-2019-9514) * HTTP/2：使用 SETTINGS 框架的溢流，會導致無限的記憶體增長 (CVE-2019-9515) * HTTP/2：導致拒絕服務的 0 長度標頭 (CVE-2019-9516) * HTTP/2：要求大型回應導致拒絕服務 (CVE-2019-9517) * HTTP/2：使用空白框架的溢流，導致過多的資源消耗 (CVE-2019-9518) 如需安全性問題的詳細資料，包括影響、CVSS 分數、確認及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

偵測

Oracle Linux 8 : nodejs:10 (ELSA-2019-2925) （零長度標頭洩露）（資料 Dribble）（空白框架溢流）（內部資料緩衝）（Ping 溢流）（重設溢流）（資源迴圈）（Settings 溢流）

high Nessus Plugin ID 129514

版本 1.5