漏洞信息详情

Joyent Node.js hapi server framework 拒绝服务漏洞

• CNNVD编号：CNNVD-201405-305
• 危害等级： 中危
  
• CVE编号： CVE-2014-3742
• 漏洞类型： 资源管理错误
• 发布时间： 2014-05-19
• 威胁类型： 远程
• 更新时间： 2014-05-19
• 厂        商： spumko_project
• 漏洞来源：

漏洞简介

Joyent Node.js是美国Joyent公司的一套建立在Google V8 Javascript引擎之上的网络应用平台。hapi server framework是其中的一个用于构建Web应用程序和服务的框架。

Joyent Node.js hapi server framework 2.0.x版本和2.2.0之前的2.1.x版本中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务（文件描述符消耗和进程崩溃）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://nodesecurity.io/advisories/hapi_File_descriptor_leak_DoS_vulnerability

参考网址

来源:github.com

链接:https://github.com/spumko/hapi/issues/1427

来源:MLIST

名称:[oss-security] 20140513 CVE request: various Nodejs module vulnerabilities

链接:http://www.openwall.com/lists/oss-security/2014/05/13/1

来源:MLIST

名称:[oss-security] 20140514 Re: CVE request: various Nodejs module vulnerabilities

链接:http://www.openwall.com/lists/oss-security/2014/05/15/2

来源:nodesecurity.io

链接:https://nodesecurity.io/advisories/hapi_File_descriptor_leak_DoS_vulnerability

受影响实体

• Spumko_project Hapi_server_framework:2.0.0:Preview:~~~Node.js~~  
• Spumko_project Hapi_server_framework:2.0.0:-:~~~Node.js~~  
• Spumko_project Hapi_server_framework:2.1.1:~~~Node.js~~  
• Spumko_project Hapi_server_framework:2.1.2:~~~Node.js~~  

补丁

• hapi-2.2.0
• hapi-2.2.0