Fedora 19：v8-3.14.5.10-11.fc19 (2014-9113)

medium Nessus 插件 ID 77210

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Node.js 项目的 TJ Fontaine 报告：

在 Node.js 0.8 和 0.10 随附的 V8 版本中发现内存损坏漏洞，可能导致拒绝服务。在某些情况下，可触发 GC 并接收中断的特定深度递归工作负载可能造成堆栈溢出，并导致分段错误。例如，如果工作负载涉及连续“JSON.parse”调用，并且解析的对象非常深，那么可能会在解析时遭遇处理中止。

此问题由 Tom Steele（[^Lift Security] (https://liftsecurity.io/)）和 Fedor Indunty 确认，Node.js 核心团队成员正与 V8 团队与密切合作，以寻找解决方案。

V8 问题的描述请见 https://codereview.chromium.org/339883002

此问题已加载到 Node 存储库中：https://github.com/joyent/node/commit/530af9cb8e700e7596b3ec812bad123c 9fa06356

并且已在以下版本中发布：

- [v0.10.30](http://nodejs.org/dist/v0.10.30) http://blog.nodejs.org/2014/07/31/node-v0-10-30-stable/

- [v0.8.28](http://nodejs.org/dist/v0.8.28) http://blog.nodejs.org/2014/07/31/node-v0-8-28-maintenance/

### The Fix

[已应用于此更新。]

### Remediation

最佳做法是修补或升级 Node.js。

### Mitigation

要缓解深度 JSON 解析，可限制要解析的字符串大小，或禁止触发用于解析 JSON 的“RangeError”的客户端。

JSON 字符串没有确定的最大大小，不过应将其保持为系统建议的消息正文大小。如果消息正文不能超过 20K，则没有理由接受 1MB 的正文。

对于进行自动 JSON 解析的 Web 框架，可能需要配置接受 JSON 负载的路由，以便拥有最大正文大小。

- [expressjs](http://expressjs.com) 和 [krakenjs](http://krakenjs.com) 在与 [body-parser](https://github.com/expressjs/body-parser#bodyparserjsonoptions) 插件一起使用时，接受 JSON 配置中的“limit”参数

- [Hapi.js](http://hapijs.com) 具有“payload.maxBytes”https://github.com/spumko/hapi/blob/master/docs/Referenc e.md

- [restify](http://mcavage.me/node-restify/#Bundled-Plugins) 捆绑的“bodyParser”接受“maxBodySize”

来源：https://groups.google.com/d/msg/nodejs/-siJEObdp10/2xcqqmTHiEMJ

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。