묘사

7.4.2에서 7.4.6까지의 충돌ws.
릴리즈 노트
출처ws's releases.

7.4.6

취약점 복구

• Fixed a ReDoS vulnerability (00c425ec).

A specially crafted value of the Sec-Websocket-Protocol header could be used to significantly slow down a ws server.

for (const length of [1000, 2000, 4000, 8000, 16000, 32000]) {
  const value = 'b' + ' '.repeat(length) + 'x';
  const start = process.hrtime.bigint();
value.trim().split(/ *, */);
const end = process.hrtime.bigint();
console.log('length = %d, time = %f ns', length, end - start);
}

The vulnerability was responsibly disclosed along with a fix in private by Robert McLaughlin from University of California, Santa Barbara.

In vulnerable versions of ws, the issue can be mitigated by reducing the maximum allowed length of the request headers using the --max-http-header-size=size and/or the maxHeaderSize options.

7.4.5

취약점 복구

• UTF-8 validation is now done even if utf-8-validate is not installed (23ba6b29).
• Fixed an edge case where websocket.close() and websocket.terminate() did not close the connection (67e25ff5).

7.4.4

취약점 복구

• Fixed a bug that could cause the process to crash when using the permessage-deflate extension (92774377).

7.4.3

취약점 복구

• The deflate/inflate stream is now reset instead of reinitialized when context takeover is disabled (#1840).

언약

f5297f7 [dist]7.4.6

00c425e [안전] 복구 재작업 빈틈

990306d [lint]더 예쁜 오류 복구

32e3a84 [안전] 노드 안전 항목

에 대한 인용 삭제

8c914d1 [부차적] 고정 NIT

노드 16의

fc7e27d [ci] 테스트

587c201 [ci]노드 15

에서 테스트 안 함

f672710 [dist]7.4.5

67e25ff [복구] 복구abortHandshake() 연결이 꺼지지 않은 경우

23ba6b2 [복구] UTF-8-validate

가 설치되어 있지 않아도 UTF-8 검증이 정상적으로 작동하도록

compare view

에서 볼 수 있는 추가 제출

이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석@dependabot rebase을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.
신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
[보안 경고 페이지]에서 재구매 계약의 자동 보안 수정 PRs를 비활성화할 수 있습니다(https://github.com/tdreyno/pretty-please/network/alerts).

토론 #1

: 타다: 이 PR은 버전 1.16.0에 포함되어 있습니다. 타다:
이 버전은 다음 웹 사이트에서 사용할 수 있습니다.
- npm package (@latest dist-tag)
- GitHub release
당신의 semantic-release 로봇: 소프트웨어 패키지: 로켓: