值得注意的变化
在这个版本中修复了以下CVEs:
CVE-2023-30581: mainModule.__proto__ 绕过实验性策略机制 (高)
CVE-2023-30584:实验性许可模型中的路径遍历绕过 (高)
CVE-2023-30587:通过Node.js检查器绕过实验性许可模型(高)
CVE-2023-30582: 不充分的权限模型允许未经授权的文件观察 (中)
CVE-2023-30583:通过fs.openAsBlob()绕过实验性权限模型 (中)
CVE-2023-30585: 在Node.js安装程序修复过程中通过恶意注册表键操作进行特权升级(中)
CVE-2023-30586:通过任意的OpenSSL引擎绕过实验性许可模型(中)
CVE-2023-30588:由于x509证书中无效的公钥信息导致进程中断 (中)
CVE-2023-30589: 通过由CR分隔的空头的HTTP请求走私(中)
CVE-2023-30590:DiffieHellman在设置私钥后不生成密钥(中)
OpenSSL安全公告
3月28日OpenSSL安全公告。
4月20日OpenSSL安全公告。
5月30日OpenSSL安全公告
关于每个漏洞的更多详细信息可以在2023年6月安全发布博文中找到。
提交
[dac08dafc9] – crypto:优雅地处理无效SPKI的证书(Tobias Nießen) nodejs-private/node-private#393
[d274c3babc] – crypto,https,tls: 启用perms后禁用引擎(Tobias Nießen) nodejs-private/node-private#409
[5621c1de38] – Deps: update archs files for openssl-3.0.9-quic1 (Node.js GitHub Bot) #48402
[771caa9f1c] – 仓库:将 openssl 源码升级到 quictls/openssl-3.0.9-quic1 (Node.js GitHub Bot) #48402
[0459bf9c99] – doc,test: 澄清DH generateKeys的行为(Tobias Nießen)nodejs-private/node-private#426
[27e20501aa] – http: disable request smuggling via empty headers (Paolo Insogna) nodejs-private/node-private#427
[9c17e335f1] – msi:不要创建AppData\Roaming\npm(Tobias Nießen)nodejs-private/node-private#408
[b51124c637] – 权限:处理fs路径遍历(RafaelGSS) nodejs-private/node-private#403
[ebc5927adc] – 权限:处理fs.openAsBlob(RafaelGSS)nodejs-private/node-private#405
[c39a43bff5] – 权限: handle fs.watchFile (RafaelGSS) nodejs-private/node-private#404
[d0a8264ec9] – 策略:处理 mainModule.__proto__ 绕过 (RafaelGSS) nodejs-private/node-private#416
[3df13d5a79] – src,permission: restrict inspector when pm enabled (RafaelGSS) nodejs-private/node-private#410
Windows 32-bit Installer: https://nodejs.org/dist/v20.3.1/node-v20.3.1-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v20.3.1/node-v20.3.1-x64.msi
Windows ARM 64-bit Installer: https://nodejs.org/dist/v20.3.1/node-v20.3.1-arm64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v20.3.1/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v20.3.1/win-x64/node.exe
Windows ARM 64-bit Binary: https://nodejs.org/dist/v20.3.1/win-arm64/node.exe
macOS 64-bit Installer: https://nodejs.org/dist/v20.3.1/node-v20.3.1.pkg
macOS Apple Silicon 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-darwin-arm64.tar.gz
macOS Intel 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-darwin-x64.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-linux-ppc64le.tar.xz
Linux s390x 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-linux-s390x.tar.xz
AIX 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-aix-ppc64.tar.gz
ARMv7 32-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v20.3.1/node-v20.3.1-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v20.3.1/node-v20.3.1.tar.gz
Other release files: https://nodejs.org/dist/v20.3.1/
Documentation: https://nodejs.org/docs/v20.3.1/api/