Les développeurs de Node.js ont conseillé à tous leurs utilisateurs de mettre à niveau Node.js vers la dernière version stable disponible.
La version 0.6.17 corrige une faille de sécurité dans la mise en œuvre d'un nœud HTTP qui pourrait être exploité par un pirate pour accéder à des informations privées. Cela pourrait se faire en ajoutant le contenu de la mémoire tampon du parseur HTTP pour usurper une request header. Le retour de contenu d'une telle requête est en général bénigne mais dans ce cas-ci, il pourrait exposer des informations provenant d'autres requêtes.
Toutes les versions des branches 0.5.x et 0.6.x y compris la version 0.6.16 sont infectées. Les versions 0.7.0 à la 0.7.7 de la branche 0.7.x de dev sont également infectées. Mettre à jour vers la version 0.6.17 ou 0.7.8 corrige le problème. Sinon, ceux qui ne peuvent pas ou choisissent de ne pas mettre à jour, peuvent appliquer un fix. Les développeurs notent que la version 0.6.17 corrige aussi d'autres bugs importants tels que la fuite du descripteur de fichier dans les fonctions de synchronisation.
Plus d'informations sur cette mise à jour peuvent être trouvées dans l'article sur le blog officiel et dans le changelog. Node.js 0.6.17 est disponible en téléchargement pour Windows, Mac OS X ou en tant que source à partir du site web officiel. La documentation a également été mise à jour.
MISES A JOUR DE L'ARTICLE |
