Cette traduction fournie par StrongLoop / IBM.

Il se peut que ce document soit obsolète par rapport à la documentation en anglais. Pour connaître les mises à jour les plus récentes, reportez-vous à la documentation en anglais.

✖

Mises à jour de sécurité

Les vulnérabilités Node.js affectent directement Express. Cependant, gardez un oeil sur les vulnérabilités Node.js et assurez-vous d’utiliser la dernière version stable de Node.js.

La liste ci-dessous répertorie les vulnérabilités Express qui ont été corrigées dans la mise à jour de la version spécifiée.

4.x

4.11.1
- Correction de la vulnérabilité de divulgation de racine dans express.static, res.sendfile et res.sendFile
4.10.7
- Correction de la vulnérabilité de redirection ouverte dans express.static (advisory, CVE-2015-1164).
4.8.8
- Correction des vulnérabilités de traversée de répertoire dans express.static (advisory , CVE-2014-6394).
4.8.4
- Node.js 0.10 peut divulguer des fd dans certaines situations qui affectent express.static et res.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation de fd, ainsi que des erreurs EMFILE et une absence de réponse du serveur.
4.8.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.

3.x

3.19.1
- Correction de la vulnérabilité de divulgation de racine dans express.static, res.sendfile et res.sendFile
3.19.0
- Correction de la vulnérabilité de redirection ouverte dans express.static (advisory, CVE-2015-1164).
3.16.10
- Correction des vulnérabilités de traversée de répertoire dans express.static.
3.16.6
- Node.js 0.10 peut divulguer des fd dans certaines situations qui affectent express.static et res.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation de fd, ainsi que des erreurs EMFILE et une absence de réponse du serveur.
3.16.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
3.3.0
- La réponse 404 à une tentative de substitution de méthode non prise en charge était susceptible d’entraîner des attaques de type cross-site scripting.