Node.js vá lỗ hổng từ chối dịch vụ

Node.js đã được cập nhật lên phiên bản 0.12.6. Phiên bản mới nhất của nền tảng này sửa một lỗ hổng khai thác tấn công từ chối dịch vụ (DoS).

Lỗ hổng ảnh hưởng đến bộ chuyển đổi bộ đệm (Buffer) sang chuỗi kí tự (String), gây ra bởi một lỗi ghi out-of-band trong bộ giải mã utf-8. Đây là một bản cập nhật quan trọng vì bug có thể dẫn tới tấn công từ chối dịch vụ.

Tháng trước, Node 0.10.39 đã được cập nhật để nâng cấp OpenSSL lên 1.0.1o, giải quyết hai lỗ hổng ảnh hưởng đến Node.js. Một trong số đó là lỗ hổng Logjam, dẫn tới tấn công Man-in-the-middle (MitM), giảm cấp kết nối TLS xuống mã hóa 12-bit export-grade. Lỗ hổng thứ hai gây ra bởi cấu trúc ECParameters xử lý dữ liệu, dẫn đến từ chối dịch vụ.

Node.js là framework event-driven không đồng bộ, được thiết kế để viết các ứng dụng internet có khả năng mở rộng, đặc biệt là máy chủ web. Nền tảng này được rất nhiều doanh nghiệp lớn trên thế giới sử dụng bao gồm IBM, Amazon, Microsoft, Oracle, và CA Technologies.

Việc sử dụng event-driven, non-blocking I/O model khiến Node.js trở thành một nền tảng nhẹ nhàng và hiệu quả, phù hợp với ứng dụng thời gian thực có dữ liệu lớn, chạy trên nhiều thiết bị phân tán. Tuy nhiên, nhược điểm xử lý nhiều kết nối chỉ với một một single-thread khiến Node.js rất dễ bị tấn công từ chối dịch vụ.