страшне зображення для страшної вразливості
TLDR; Тому що ваш сканер безпеки ось-ось отримає збій
- CVE-2025–23087 щойно випустили, і це набагато гарячіше за останній звіт вашої інфраструктурної команди
- Вразливість стосується всього до Node.js 18 (так, вашого додатка на v16 також). P.S. також випустили CVE для версій 19/21
- Залежності OpenSSL v1 тепер фактично запрошують хакерів на вечірку
- Оновлюйтесь або звертайтесь за допомогою — більше немає варіантів
Отже, отже, отже. Пам'ятаєте, коли ми казали, що команда Node.js закінчила з добрими намірами? Вони щойно довели це, випустивши CVE-2025–23087, як найгарячіший мікстейп 2025 року… тільки замість гарячих бітах — це безперервні попередження про безпеку на кожну застарілу версію.
Фаза "Це не просто фаза"
Це не ваша звичайна вразливість CVE. Команда Node.js щойно офіційно класифікувала всі версії до v18 як більш застарілі, ніж ваш декор на стіні "Live Laugh Love". Ми говоримо про ВИСОКУ серйозність, що в термінах безпеки означає "оновлюйте зараз або починайте репетирувати свою промову з реагування на інциденти".
Технічні подробиці (розкрито)
Давайте розглянемо цю безпекову красу:
- CVE ID: CVE-2025–23087
- Серйозність: Висока (як ваш тиск, коли читаєте це)
- Пошкоджені версії: Все <= 17.9.1 (прощаємось з v16)
- Категорія: CWE-1104 — Використання застарілих сторонніх компонентів
- Дата виправлення: 21 січня 2025 року (З Новим роком, ось ваша кризова ситуація з безпекою)
Але це ще не все
Ваша застаріла версія не просто сидить на самоті у місті вразливостей — вона принесла друзів. Мова йде про:
Драма з OpenSSL
- Ваша застаріла версія використовує OpenSSL v1, що таке ж надійне, як двері-сітка на підводному човні
- Віддалене виконання коду? Так
- Підробка сертифікатів? Так
- Пошкодження пам'яті? Очевидно
- Відмова в обслуговуванні? Як ваш екс, вона просто не зупиняється
Проблеми з HTTP Parser (відома збірка llhttp)
- Вразливості для контрабанди запитів, що роблять контроль кордону ефективним
- Різні способи DoS для вашого сервера (тому що хто не любить несподівані простої?)
Супроводжуючий акт проблем
- nghttp2 робить усе можливе, щоб виглядати як швейцарський сир у безпеці
- zlib грає в "піймай мене, якщо зможеш" з вашою цілісністю даних
- c-ares і npm приєднуються до вечірки з вразливостями через FOMO
Ваш момент "Вибери свою пригоду"
Опція 1: Оновіть до підтримуваної версії:
node -v # Попередження: Результати можуть спричинити емоційні пошкодження
Опція 2: Отримати комерційну підтримку (бо інколи викидати гроші на проблеми — це працює)
Холодна, тверда правда
Будьмо реалістами на секунду (обіцяю, лише на одну): ця CVE не просто ще одне сповіщення про безпеку, яке можна проігнорувати, як ці спливаючі вікна "Оновлення доступні" на вашому телефоні. Це спосіб команди Node.js сказати "ДОСИТЬ" великими літерами, жирним, курсивом і, мабуть, Comic Sans, якби вони могли.
Наразі підтримувані версії, які НЕ будуть снити вашим командам безпеки жахіття:
- Node.js 23 (Поточна): Для сміливих
- Node.js 22 (LTS): Для мудрих
- Node.js 20 (Підтримка LTS): Для прагматиків
- Node.js 18 (Підтримка LTS): Для тих, хто просто не хоче CVE
Підсумки (Тому що кожна велика безпекова криза повинна мати підсумок)
Ваша застаріла версія Node.js перетворилась з "життя на межі небезпеки" на "офіційно документовану загрозу безпеки". Це як якщо б ваш код отримав татуювання на обличчі — він, звісно, ще працює, але ніхто в бізнесі не захоче з цим мати справу.
Потрібна допомога в плануванні втечі від застарілих версій? Залиште коментар нижче. Ми всі в цьому разом (якщо технічно ми не зовсім разом, тому що вразливості безпеки — це як квитки на концерт, які не передаються… вони тільки ваші, і вам їх доведеться вирішувати).
П.С.
Якщо ця стаття змусила вас нервово перевірити версію вашого продакшн-сервера Node.js, моя робота виконана. Якщо ж ні, все одно перевірте свою версію Node.js. Повірте мені.
Застереження: штучний інтелект допомагав у написанні цієї статті так, як співробітник допомагає вам в кодінгу щодня.
Перекладено з: It’s Official: Node.js Just Dropped the Mother of All CVEs [CVE-2025–23087]