Node 20.5.1发布-Linuxeden开源社区

Node 20.5.1发布

本版本修复了以下 CVE：

CVE-2023-32002：可通过 Module._load 绕过策略（高）
CVE-2023-32558：process.binding() 可通过路径遍历绕过权限模型（高）
CVE-2023-32004：可通过在缓冲区中指定路径遍历序列绕过权限模型（高）
CVE-2023-32006：可通过 module.constructor.createRequire 绕过策略（中）
CVE-2023-32559：可通过 process.binding 绕过策略（中）
CVE-2023-32005：fs.statfs 可绕过权限模型（低级）
CVE-2023-32003：fs.mkdtemp() 和 fs.mkdtempSync() 可绕过权限模型（低级）
OpenSSL 安全发布
OpenSSL 安全公告 7 月 14 日
 OpenSSL 安全公告 7 月 19 日
 7 月 31 日 OpenSSL 安全公告
有关每个漏洞的更多详细信息，请参阅 2023 年 8 月安全发布博文。

提交
[92300b51b4] – 文件：更新 openssl-3.0.10+quic1 的 archs 文件（Node.js GitHub 僵尸程序） #49036
[559698abf2] – 文件：将 openssl 源升级至 quictls/openssl-3.0.10+quic1 (Node.js GitHub Bot) #49036
[1bf3429e8e] – lib,permission：启用 pm 时限制 process.binding (RafaelGSS) nodejs-private/node-private#438
[98a83a67e6] – 权限：调用 mkdtemp 时确保解析路径 (RafaelGSS) nodejs-private/node-private#464
[1f0cde466b] – permission: handle buffer path on fs calls (RafaelGSS) nodejs-private/node-private#439
[bd094d60ea] – permission: handle fstatfs and add pm supported list (RafaelGSS) nodejs-private/node-private#441
[7337d21484] – 策略：处理 Module.constructor 和 main.extensions 旁路 (RafaelGSS) nodejs-private/node-private#417
[cf348ec640] – 策略：启用时禁用 process.binding() (Tobias Nießen) nodejs-private/node-private#397
Windows 32 位安装程序：https://nodejs.org/dist/v20.5.1/node-v20.5.1-x86.msi
Windows 64 位安装程序：https://nodejs.org/dist/v20.5.1/node-v20.5.1-x64.msi
Windows ARM 64 位安装程序：https://nodejs.org/dist/v20.5.1/node-v20.5.1-arm64.msi
Windows 32 位二进制文件： https://nodejs.org/dist/v20.5.1/win-x86/node.exe
Windows 64 位二进制文件： https://nodejs.org/dist/v20.5.1/win-x64/node.exe
Windows ARM 64 位二进制文件： https://nodejs.org/dist/v20.5.1/win-arm64/node.exe
macOS 64 位安装程序：https://nodejs.org/dist/v20.5.1/node-v20.5.1.pkg
macOS 苹果硅 64 位二进制文件：https://nodejs.org/dist/v20.5.1/node-v20.5.1-darwin-arm64.tar.gz
macOS Intel 64 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-darwin-x64.tar.gz
Linux 64 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-linux-x64.tar.xz
Linux PPC LE 64 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-linux-ppc64le.tar.xz
Linux s390x 64 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-linux-s390x.tar.xz
AIX 64 位二进制文件：https://nodejs.org/dist/v20.5.1/node-v20.5.1-aix-ppc64.tar.gz
ARMv7 32 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-linux-armv7l.tar.xz
ARMv8 64 位二进制文件： https://nodejs.org/dist/v20.5.1/node-v20.5.1-linux-arm64.tar.xz
源代码： https://nodejs.org/dist/v20.5.1/node-v20.5.1.tar.gz
其他发布文件： https://nodejs.org/dist/v20.5.1/
文档： https://nodejs.org/docs/v20.5.1/api/

转自 Node v20.5.1 (Current) | Node.js (nodejs.org)

相关推荐