Express.js 安全审计:里程碑式的成就
我们很高兴地宣布,由 Ada Logics 执行并由 OSTIF 促成的 Express.js 全面安全审计已成功完成。对我们的框架及其核心组件进行的这项广泛审查,标志着我们致力于确保 Express.js 社区安全性和可靠性的重要里程碑。
一项协作努力
此次审计是 Express 安全工作组、Ada Logics、OSTIF 和 OpenJS 基金会之间合作的成果。我们的重点是彻底评估 Express.js 代码库,包括其依赖项和核心库。主要目标是识别任何潜在的安全漏洞并加强框架的整体安全态势。
审计主要亮点
- 审计持续时间:2024 年 4 月至 5 月进行。
- 范围:Express.js 核心代码库和关键依赖项,例如
body-parser、basic-auth-connect、serve-static等。 - 发现:共识别出 5 个安全漏洞,所有漏洞均已解决并打上补丁。
- 严重性:问题严重性从中等到高,影响
res.redirect和serve-static等组件。
详细查看发现
审计发现了几处漏洞,包括潜在的跨站脚本 (XSS) 风险和 body-parser 中间件中的拒绝服务 (DoS) 漏洞。以下是报告的关键 CVE:
- CVE-2024-43796:
res.redirect中的 XSS——在版本 >= 4.20.0 和 >= 5.0.0 中已修复。 - CVE-2024-45590:
body-parser中的 DoS——在版本 >= 1.20.3 中已打上补丁。 - CVE-2024-47178:
basic-auth-connect中的时间漏洞——在版本 >= 1.1.0 中已打上补丁。 - CVE-2024-43799:
send实用模块中的 XSS——在版本 >= 0.19.0 中已打上补丁。 - CVE-2024-43800:
serve-static中的 XSS——在版本 >= 1.16.0 和 >= 2.1.0 中已修复。
我们敬业的安全分类团队迅速解决了这些漏洞,确保用户免受已知威胁。
有关审计结果的完整详细信息,请在此处查阅官方审计报告。
对透明度和安全的承诺
在 Express,安全是重中之重,我们相信在漏洞及其解决方案方面透明的重要性。此次审计不仅凸显了我们的积极主动,也重申了我们持续致力于为所有人构建一个安全 Web 框架的承诺。
我们强烈建议所有用户更新到受影响软件包的最新版本,以受益于最近的安全修复。有关补丁和升级方法的更多信息,请参阅我们的2024 年 9 月安全发布公告。
鸣谢
如果没有许多个人和组织的努力和专业知识,这次审计是不可能实现的。我们要向以下方面表示感谢:
- Ada Logics 团队的勤勉审查和见解。
- OSTIF 在整个审计过程中的协调和支持。
- OpenJS 基金会赞助了这项重要倡议。
- 我们的 Express.js 社区,他们继续支持并信任我们将他们的项目托付给我们。
- Jordan Harband 在我们修改 qs 时提供了卓越的支持。
我们共同使 Express.js 变得更强大、更有弹性,并为未来的挑战做好了准备。我们期待继续以卓越和安全为重点为社区服务。
感谢您与我们携手同行!
编辑此页面