Node.js दिसंबर 2025 सुरक्षा रिलीज़: महत्वपूर्ण रनटाइम और निर्भरता सुधार जो पूर्ण-स्टैक टीमों को अभी लागू करने चाहिए
Summary
13 जनवरी 2026 को, Node.js प्रोजेक्ट ने समन्वित सुरक्षा रिलीज़ प्रकाशित की, जो सक्रिय रिलीज़ लाइनों (20.x, 22.x, 24.x, 25.x) को प्रभावित करने वाले कई उच्च- और मध्यम-गंभीरता वाले रनटाइम और निर्भरता कमजोरियों को पैच करती है। इस सेट में बफर आवंटनों में अनियोजित मेमोरी एक्सपोज़र, तैयार किए गए सिम्लिंक्स के माध्यम से फ़ाइल-प्रणाली अनुमति बचाव, गलत HTTP/2 फ्रेम से दूरस्थ क्रैश, और प्रमुख निर्भरताओं (c-ares, undici) के अपडेट के लिए सुधार शामिल हैं। ये बग सर्वर-साइड जावास्क्रिप्ट सेवाओं और एज/प्रबंधित रनटाइम के लिए गोपनीयता, अखंडता और उपलब्धता के जोखिम पैदा करते हैं — पूर्ण-स्टैक टीमों को इसे एक तात्कालिक प्लेटफ़ॉर्म अपडेट के रूप में मानना चाहिए। (nodejs.org)
Why this matters (practical impact)
- बफर आवंटन दौड़ (CVE-2025-55131): विशिष्ट टाइमआउट/दौड़ की स्थितियों के तहत, Buffer.alloc और समान TypedArray आवंटन गैर-शून्य-भरे जा सकते हैं, जिससे प्रक्रिया में रहस्यों का खुलासा हो सकता है या जब कोड vm मॉड्यूल के साथ टाइमआउट का उपयोग करता है तो डेटा भ्रष्ट हो सकता है। लंबे समय तक चलने वाली प्रक्रियाओं, मेमोरी में रहस्यों का प्रबंधन करने वाली सेवाएँ, या प्रक्रिया में अलगाव पर निर्भर सेवाएँ जोखिम में हैं। (nodejs.org)
- फ़ाइल प्रणाली अनुमति बायपास (CVE-2025-55130): तैयार किए गए सापेक्ष सिम्लिंक श्रृंखलाएँ Node के फ़ाइल प्रणाली अनुमति मॉडल (प्रायोगिक अनुमति ध्वज) से बच सकती हैं, जिससे इच्छित निर्देशिकाओं के बाहर पढ़ने/लिखने की अनुमति मिलती है — यह सैंडबॉक्स और निर्माण धावकों के लिए खतरनाक है जो Node-स्तरीय अलगाव पर निर्भर करते हैं। (nodejs.org)
- HTTP/2 सर्वर क्रैश (CVE-2025-59465): गलत HEADERS फ्रेम के साथ अमान्य HPACK डेटा अनहैंडल्ड त्रुटियों और दूरस्थ प्रक्रिया क्रैश को ट्रिगर कर सकता है, जिससे Node के HTTP/2 स्टैक का उपयोग करने वाले HTTPS सर्वरों के खिलाफ DoS सक्षम होता है। (nodejs.org)
- निर्भरता पैच: c-ares (1.34.6) और undici (6.23.0 / 7.18.0) के लिए अपडेट रिलीज़ का हिस्सा हैं — जो एप्लिकेशन और ढांचे इन लाइब्रेरीज़ को विक्रेता या बंडल करते हैं, उन्हें पुनर्निर्माण या निर्भरता बंप की आवश्यकता हो सकती है। (nodejs.org)
Immediate action checklist (high priority)
-
सभी वातावरणों (CI, विकास छवियाँ, स्टेजिंग, उत्पादन) में Node को इस सलाह के साथ प्रकाशित पैच किए गए रिलीज़ (20.20.0, 22.22.0, 24.13.0, 25.3.0 उपलब्ध होने पर) में अपग्रेड करें और किसी भी कंटेनर या रनटाइम कलाकृतियों को पुनर्निर्माण करें। इसे इंटरनेट-फेसिंग सेवाओं के लिए अनिवार्य मानें। पूर्ण रोलआउट से पहले कैनरी में तैनाती का परीक्षण करें। (nodejs.org)
-
कंटेनर छवियों और फ़ंक्शन पैकेजों को पुनर्निर्माण और पुनर्प्रकाशित करें। यह मानने की गलती न करें कि क्लाउड प्रदाता का प्रबंधित Node रनटाइम पहले से ही अपडेट किया गया है — प्रदाता छवि संस्करण को सत्यापित करें और पुनर्निर्मित छवियों को उन रजिस्ट्रियों (ECR/GCR/Azure कंटेनर रजिस्ट्र्री) में पुश करें जहाँ आप रनटाइम को नियंत्रित करते हैं। अपने ऑर्केस्ट्रेटर की नोड छवियों (k8s नोड्स, Fargate कार्य, आदि) को मान्य करें। (nodejs.org)
-
सीधे undici और c-ares उपयोगों को पिन और/या अपडेट करें। जहां आपका कोड या ढांचा undici या c-ares का उपयोग करता है, सलाह में उल्लिखित पैच किए गए संस्करणों (undici 6.23.0 / 7.18.0, c-ares 1.34.6) में अपडेट करें और निर्भरता पुनर्निर्माण चलाएँ। यदि आप लॉकफाइल पर निर्भर हैं, तो उन्हें फिर से उत्पन्न करें और पूर्ण CI निर्भरता परीक्षण चलाएँ। (nodejs.org)
-
कोड पैटर्न का ऑडिट करें जो एक्सपोज़र बढ़ाते हैं:
- टाइमआउट विकल्पों के साथ vm के उपयोगों और उन कोड की खोज करें जो ऐसे संदर्भों में Buffer.alloc / Buffer.allocUnsafe को कॉल करते हैं जहां टाइमआउट या अविश्वसनीय इनपुट आवंटन ताल को प्रभावित करते हैं। असुरक्षित आवंटनों को स्पष्ट शून्य करने के साथ बदलें या आवंटन समय पर निर्भरता से बचने के लिए पुन: डिज़ाइन करें। (nodejs.org)
- अलगाव के लिए केवल Node के प्रायोगिक अनुमति ध्वजों पर निर्भर न रहें; जहां संभव हो, कंटेनर/OS स्तर के नियंत्रण (पढ़ने-केवल माउंट, seccomp, AppArmor, chroot) लागू करें। (nodejs.org)
-
त्रुटि हैंडलिंग और TLS/HTTP स्टैक्स को मजबूत करें:
- सुनिश्चित करें कि TLS कॉलबैक (pskCallback, ALPN) और हैंडशेक के दौरान उपयोग किए जाने वाले किसी भी उपयोगकर्ता-प्रदान किए गए कॉलबैक को सुरक्षित try/catch में लपेटा गया है और आपकी प्रक्रिया में अनहैंडल्ड अपवादों और वर्णनकर्ता लीक से बचने के लिए उपयुक्त त्रुटि हैंडलर्स हैं। (nodejs.org)
- HTTP/2 सर्वरों के लिए, सुरक्षित कनेक्शन/सॉकेट त्रुटि घटनाओं के चारों ओर मजबूत हैंडलिंग जोड़ें और यदि आप कच्चे फ्रेम को पार्स करते हैं तो कनेक्शन सीमाएँ और उचित फ्रेम आकार सीमाएँ लागू करें। (nodejs.org)
-
CI / SRE जांचें
- पैच किए गए Node संस्करणों को शामिल करने के लिए CI मैट्रिक्स को जोड़ें या अपडेट करें और उन रनटाइम के तहत एकीकरण परीक्षण चलाएँ।
- धूम्रपान परीक्षण जोड़ें जो गलत HTTP/2 फ्रेम और आक्रामक TLS हैंडशेक परिदृश्यों (गैर-उत्पादन में) का अनुकरण करते हैं ताकि सेवा स्थिरता की पुष्टि की जा सके।
- तेज निर्भरता स्कैन (SCA) चलाएँ और लॉकफाइल को पुनर्निर्माण करें; सुनिश्चित करें कि पैच किए गए c-ares/undici के खिलाफ लिंक करने के लिए CI में पुनर्निर्माण को मजबूर करने पर विचार करें। (nodejs.org)
-
घटना त्रिage और रहस्य
- उन कार्यभारों के लिए जहां आप तुरंत अपग्रेड नहीं कर सकते, मुआवजा नियंत्रण लागू करें (नेटवर्क एक्सपोज़र को सीमित करें, प्रभावित सेवाओं को अलग करें, निगरानी बढ़ाएँ)।
- क्योंकि बफर आवंटन समस्या दुर्लभ समय की खिड़कियों में प्रक्रिया में डेटा को उजागर कर सकती है, यदि आप क्रेडेंशियल्स या टोकन के उजागर होने का संदेह करते हैं, तो प्रभावित प्रक्रियाओं द्वारा सेवा किए गए रहस्यों और कुंजियों को घुमाएँ। (nodejs.org)
Rollout notes and long‑term recommendations
- सर्वर और निर्माण/सेवा रनटाइम (CI एजेंट, निर्माण सर्वर, कलाकृति धावक) को उत्पादन वेब सेवाओं के समान तात्कालिकता के साथ मानें — एक उजागर निर्माण एजेंट रहस्यों को लीक कर सकता है या कलाकृतियों में बैकडोर को बनाए रख सकता है।
- एज या प्रबंधित रनटाइम (प्लेटफ़ॉर्म जो Node को एम्बेड करते हैं) का उपयोग करने वाली टीमों के लिए, प्रदाता की समयसीमा की पुष्टि करें — कुछ प्रदाता पीछे रह सकते हैं और आपको पैच किए गए Node बाइनरी के साथ फिर से पैकेज करने की आवश्यकता हो सकती है।
- अपने रिलीज़ कैलेंडर में Node LTS लाइनों के लिए एक स्वचालित पैच विंडो बनाए रखें और आपातकालीन Node सुरक्षा अपग्रेड के लिए एक तेज़ मार्ग जोड़ें (स्वचालित छवि निर्माण + कैनरी तैनाती)।
- रनटाइम अलगाव (छोटा विस्फोट क्षेत्र) बढ़ाने और लंबे समय तक चलने वाली प्रक्रिया मेमोरी में रखे गए रहस्यों को कम करने पर विचार करें; जहां संभव हो, छोटे TTL के साथ बाहरी रहस्य सेवाओं का उपयोग करें।
Bottom line
यह समन्वित Node.js सुरक्षा रिलीज़ कई समस्याओं को ठीक करती है जो सर्वर-साइड जावास्क्रिप्ट सेवाओं की गोपनीयता, अखंडता और उपलब्धता को प्रभावित कर सकती हैं। पूर्ण-स्टैक टीमों को पैच किए गए Node रिलीज़ में अपग्रेड करने, कलाकृतियों को पुनर्निर्माण करने, प्रमुख निर्भरताओं (undici, c-ares) को अपडेट करने, त्रुटि हैंडलिंग को मजबूत करने और प्रदाता रनटाइम को मान्य करने को प्राथमिकता देनी चाहिए — फिर जहां उजागर होने का संदेह हो, रहस्यों को घुमाएँ। सामान्य तैनाती स्वच्छता (कैनरी, स्वास्थ्य जांच, अवलोकन) का पालन करें और तेजी से आगे बढ़ें: ये सुधार व्यापक रूप से लागू होते हैं और कई सक्रिय Node रिलीज़ लाइनों को प्रभावित करते हैं। (nodejs.org)
Source:
Source
आगे पढ़ें
Chrome 143 में FedCM में परिवर्तन: संरचित ID दावे, कड़े क्लाइंट मेटाडेटा, और ब्रेकिंग API अपडेट
31 जनवरी 2026Chrome 143 (12 जनवरी, 2026 को प्रकाशित) FedCM पहचान प्रवाह में परिवर्तन करता है: ID दावा टोकन संरचित JSON हो सकते हैं, क्लाइंट_मेटाडेटा सत्यापन लागू किया गया है, और कई API फ़ील्ड स्थानांतरित/नामांकित किए गए हैं — Chrome 145 से पहले माइग्रेशन आवश्यक है।
Undici CVE-2026-22036: अनबाउंड डिकंप्रेशन चेन संसाधन समाप्ति की अनुमति देती है — पैच जारी किए गए
30 जनवरी 202614 जनवरी, 2026 को undici (Node.js HTTP क्लाइंट) के लिए एक सुरक्षा सलाह में एक अनबाउंड डिकंप्रेशन-चेन भेद्यता का वर्णन किया गया है जो उच्च CPU और मेमोरी उपयोग की ओर ले जा सकती है। फुल-स्टैक टीमों को प्रभावित undici संस्करणों को खोजने और अपग्रेड करने और हल्के रनटाइम सुरक्षा जोड़ने की आवश्यकता है।
React Router / Remix CSRF सुरक्षा दोष सर्वर क्रियाओं में (CVE-2026-22030)
29 जनवरी 2026React Router और @remix-run/server-runtime ने सर्वर-साइड क्रिया हैंडलरों और अस्थिर React सर्वर क्रियाओं को प्रभावित करने वाले मध्यम-गंभीर CSRF मुद्दे को पैच किया - जो पूर्ण-स्टैक टीमों को अब जांचना और पैच करना चाहिए।