导读 | Node 20.5.1发布,修复和更新了一些内容。 |
本版本修复了以下 CVE
- CVE-2023-32002:可通过 Module._load 绕过策略(高)
- CVE-2023-32558:process.binding() 可通过路径遍历绕过权限模型(高)
- CVE-2023-32004:可通过在缓冲区中指定路径遍历序列绕过权限模型(高)
- CVE-2023-32006:可通过 module.constructor.createRequire 绕过策略(中)
- CVE-2023-32559:可通过 process.binding 绕过策略(中)
- CVE-2023-32005:fs.statfs 可绕过权限模型(低级)
- CVE-2023-32003:fs.mkdtemp() 和 fs.mkdtempSync() 可绕过权限模型(低级)
提交
- [92300b51b4] – 文件:更新 openssl-3.0.10+quic1 的 archs 文件(Node.js GitHub 僵尸程序) #49036
- [559698abf2] – 文件:将 openssl 源升级至 quictls/openssl-3.0.10+quic1 (Node.js GitHub Bot) #49036
- [1bf3429e8e] – lib,permission:启用 pm 时限制 process.binding (RafaelGSS) nodejs-private/node-private#438
- [98a83a67e6] – 权限:调用 mkdtemp 时确保解析路径 (RafaelGSS) nodejs-private/node-private#464
- [1f0cde466b] – permission: handle buffer path on fs calls (RafaelGSS) nodejs-private/node-private#439
- [bd094d60ea] – permission: handle fstatfs and add pm supported list (RafaelGSS) nodejs-private/node-private#441
- [7337d21484] – 策略:处理 Module.constructor 和 main.extensions 旁路 (RafaelGSS) nodejs-private/node-private#417
- [cf348ec640] – 策略:启用时禁用 process.binding() (Tobias Nießen) nodejs-private/node-private#397
- Windows 32 位安装程序://nodejs.org/dist/v20.5.1/node-v20.5.1-x86.msi
- Windows 64 位安装程序://nodejs.org/dist/v20.5.1/node-v20.5.1-x64.msi
- Windows ARM 64 位安装程序://nodejs.org/dist/v20.5.1/node-v20.5.1-arm64.msi
- Windows 32 位二进制文件: //nodejs.org/dist/v20.5.1/win-x86/node.exe
- Windows 64 位二进制文件: //nodejs.org/dist/v20.5.1/win-x64/node.exe
- Windows ARM 64 位二进制文件: //nodejs.org/dist/v20.5.1/win-arm64/node.exe
- macOS 64 位安装程序://nodejs.org/dist/v20.5.1/node-v20.5.1.pkg
- macOS 苹果硅 64 位二进制文件://nodejs.org/dist/v20.5.1/node-v20.5.1-darwin-arm64.tar.gz
- macOS Intel 64 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-darwin-x64.tar.gz
- Linux 64 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-linux-x64.tar.xz
- Linux PPC LE 64 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-linux-ppc64le.tar.xz
- Linux s390x 64 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-linux-s390x.tar.xz
- AIX 64 位二进制文件://nodejs.org/dist/v20.5.1/node-v20.5.1-aix-ppc64.tar.gz
- ARMv7 32 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-linux-armv7l.tar.xz
- ARMv8 64 位二进制文件: //nodejs.org/dist/v20.5.1/node-v20.5.1-linux-arm64.tar.xz
- 源代码: //nodejs.org/dist/v20.5.1/node-v20.5.1.tar.gz
- 其他发布文件: //nodejs.org/dist/v20.5.1/
- 文档: //nodejs.org/docs/v20.5.1/api/
原文来自:
本文地址://q13zd.cn/with-some-content.html编辑:吴康宁,审核员:清蒸github
Linux大全:
Linux系统大全: