Node.js 13 जनवरी, 2026 सुरक्षा रिलीज़ ने कई उच्च-गंभीर रनटाइम और अनुमति दोषों को ठीक किया

TL;DR — Node.js परियोजना ने 13 जनवरी, 2026 को सक्रिय रिलीज़ लाइनों (20.x, 22.x, 24.x, 25.x) के लिए समन्वित सुरक्षा रिलीज़ प्रकाशित की। इन सुधारों में तीन उच्च-गंभीर CVEs शामिल हैं (विशेष रूप से एक बफर आवंटन रेस जो अनइनीशियलाइज़्ड मेमोरी को उजागर कर सकता है और अनुमति मॉडल का एक तैयार सिम्लिंक बायपास), साथ ही HTTP/2, TLS कॉलबैक हैंडलिंग, यूनिक्स डोमेन सॉकेट अनुमति जांच और अन्य पर प्रभाव डालने वाले कई मध्यम/कम मुद्दे। पैच किए गए बिल्ड में अपग्रेड करना और अलगाव/त्रुटि-हैंडलिंग कोडपाथ को मान्य करना एक तात्कालिक संचालन कार्य के रूप में माना जाना चाहिए। (nodejs.org)

क्या हुआ (संक्षेप)

• Node.js रिलीज़ लाइनों 20.x, 22.x, 24.x और 25.x के लिए समन्वित सुरक्षा अपडेट (कई CVEs; 3 उच्च, 4 मध्यम, 1 कम)। (nodejs.org)
• उच्च-गंभीर मुख्य बातें:
  • CVE-2025-55131 — बफर आवंटन में रेस: कुछ टाइमआउट/संविधान स्थितियों के तहत Buffer.alloc() / TypedArray शून्य-आरंभ से पहले देखा जा सकता है, जिससे प्रक्रिया में रहस्यों के लीक होने का जोखिम होता है। (nodejs.org)
  • CVE-2025-55130 — तैयार सापेक्ष सिम्लिंक श्रृंखलाएं अनुमति मॉडल के --allow-fs-* प्रतिबंधों को बायपास कर सकती हैं और फ़ाइल प्रणाली की सीमाओं से बाहर निकल सकती हैं। (nodejs.org)
  • CVE-2025-59465 — HTTP/2 HEADERS फ्रेम में गलत HPACK अनहैंडल TLSSocket त्रुटियों को ट्रिगर कर सकता है जो प्रक्रिया को क्रैश कर सकता है (दूरस्थ DoS)। (nodejs.org)
• अन्य महत्वपूर्ण सुधारों में async_hooks स्टैक-ओवरफ्लो हैंडलिंग, TLS क्लाइंट सर्टिफिकेट मेमोरी लीक, अनुमति मॉडल के साथ UDS अनुमति बायपास, और PSK/ALPN कॉलबैक अपवाद हैंडलिंग शामिल हैं। (nodejs.org)

आपको स्थापित करने के लिए पैच किए गए संस्करण (डाउनलोड सूचीबद्ध)

• 20.20.0, 22.22.0, 24.13.0, 25.3.0 — अपने चल रहे रिलीज़ लाइन को संबंधित पैच किए गए संस्करण में अपग्रेड करें। (nodejs.org)

पूर्ण-स्टैक टीमों के लिए यह क्यों महत्वपूर्ण है

• गोपनीयता: बफर आवंटन बग रहस्यों (टोकन, कुंजी, सत्र डेटा) को लीक कर सकता है यदि बफर शून्य-आरंभ से पहले उजागर या अनुक्रमित किए जाते हैं। यह उच्च-संविधान या टाइमआउट-बाउंड वातावरण में केवल सैद्धांतिक नहीं है। (nodejs.org)
• अलगाव की गारंटी: टीमों को Node के अनुमति मॉडल पर सैंडबॉक्सिंग या मल्टी-टेनेंट अलगाव के लिए भरोसा करते समय मान लेना चाहिए कि सिम्लिंक ट्रैवर्सल और UDS पथ पहले बायपास किए जा सकते थे — विश्वास सीमाओं की पुन: मान्यता की आवश्यकता है। (nodejs.org)
• उपलब्धता और लचीलापन: HTTP/2 और TLS हैंडशेक मुद्दे सर्वरों को क्रैश कर सकते हैं या हमलावर-नियंत्रित इनपुट के तहत फ़ाइल वर्णनकर्ताओं को लीक कर सकते हैं; उत्पादन सर्वर जो मनमाने क्लाइंट ट्रैफ़िक को स्वीकार करते हैं, पैच होने तक जोखिम में हैं। (nodejs.org)

कार्यवाही चेकलिस्ट (प्राथमिकता क्रम)

1. अभी पैच करें (अपने रखरखाव विंडो के भीतर)
   • अपने रिलीज़ लाइन के लिए पैच किए गए Node.js संस्करण (20.20.0 / 22.22.0 / 24.13.0 / 25.3.0) में अपग्रेड करें। बेड़े के रोलआउट से पहले स्टेजिंग और कैनरी में परीक्षण करें। (nodejs.org)
2. CI / इमेज स्वच्छता
   • रनटाइम इमेज (बेस इमेज / मल्टी-स्टेज डॉकर बिल्ड) को फिर से बनाएं और पुश करें। सुनिश्चित करें कि आपका CI पिन किए गए Node इमेज का उपयोग करता है, "लेटेस्ट" नहीं।
   • पैकेज.json और लॉकफाइल में किसी भी पिन किए गए इंजन प्रतिबंधों को अपडेट करें जहां आप टूल (nvm, asdf, Dockerfile FROM) के माध्यम से नोड को पिन करते हैं।
3. सुरक्षा-क्रिटिकल रनटाइम जांच और कोड ऑडिट (संक्षिप्त स्प्रिंट)
   • कोडबेस में उन पैटर्न की खोज करें जहां Buffer/TypedArray का उपयोग किया गया है जो क्लाइंट को लौटाए जाते हैं या भेजे जाते हैं (जैसे, Buffer.alloc + तात्कालिक अनुक्रमण)। यदि आपको रोलआउट के दौरान अपग्रेड में देरी करनी है तो स्पष्ट शून्य-फिल जोड़ें। (nodejs.org)
   • अनुमति मॉडल, सिम्लिंक हैंडलिंग, या किसी भी कस्टम फ़ाइल-समाधान तर्क का उपयोग करने वाले कोड का ऑडिट करें। सापेक्ष सिम्लिंक हैंडलिंग को कैनोनिकलाइज्ड पथ जांच और सख्त अनुमति सूचियों के साथ बदलें। (nodejs.org)
   • सुनिश्चित करें कि सभी TLS सर्वर TLSSocket/सर्वर घटनाओं पर त्रुटि हैंडलर संलग्न करते हैं; TLS PSK/ALPN कॉलबैक को रक्षात्मक बनाएं (सिंक्रोनस कॉलबैक को try/catch में लपेटें और सुरक्षित रूप से विफल करें)। (nodejs.org)
   • timeout विकल्पों के साथ vm के किसी भी उपयोग की समीक्षा करें और उन स्थानों की जहां टाइमआउट कार्यान्वयन को सीमित करने के लिए निर्भर करते हैं (वे बफर आवंटन सुधार के साथ इंटरैक्ट करते हैं)। (nodejs.org)
4. अवलोकनशीलता और रनटाइम पहचान
   • प्रक्रिया क्रैश, FD लीक, या TLS हैंडशेक के साथ सहसंबंधित निरंतर मेमोरी वृद्धि में वृद्धि के लिए अलर्ट जोड़ें।
   • किसी भी HTTP/2 एंडपॉइंट के खिलाफ फज़िंग या गलत-फ्रेम परीक्षण चलाएं (ओवरसाइज HPACK/HEADERS फ्रेम का अनुकरण करें) स्टेजिंग में क्रैश सुधारों की पुष्टि करने के लिए।
5. तैनाती रणनीति
   • कैनरी → रोलआउट: ट्रैफ़िक के छोटे प्रतिशत पर तैनात करें, OOM/क्रैश दरों, FD तालिका वृद्धि, TLS हैंडशेक मेट्रिक्स, और विलंबता की निगरानी करें।
   • स्टेटफुल क्लस्टरों के लिए, सभी एक साथ व्यवधान से बचने के लिए रोलिंग रीस्टार्ट को प्राथमिकता दें।

परीक्षण सुझाव (त्वरित, उच्च प्रभाव)

• एकीकरण परीक्षण चलाएं जो:
  • टाइमआउट और समवर्ती कार्यभार के तहत बफर आवंटन पथों का परीक्षण करें; ऐसे कृत्रिम कार्यभार जोड़ें जो बफर आवंटित और उजागर करते हैं।
  • फ़ाइल प्रणाली ट्रैवर्सल परीक्षण जो चेन किए गए सापेक्ष सिम्लिंक बनाते हैं और अनुमति मॉडल/अनुमति सूची प्रवर्तन का परीक्षण करते हैं।
  • क्लाइंट सर्टिफिकेट के साथ बार-बार TLS हैंडशेक करें जो socket.getPeerCertificate(true) को कॉल करते हैं ताकि यह सुनिश्चित हो सके कि मेमोरी लगातार नहीं बढ़ती।
  • HTTP/2 गलत-फ्रेम हेडर फ्रेम ताकि प्रक्रिया जीवित रहे और त्रुटियों को संभाला जाए।

यदि आप तुरंत अपग्रेड नहीं कर सकते हैं तो संचालन नोट्स और शमन

• यदि तत्काल अपग्रेड असंभव है:
  • एक्सपोज़र को सीमित करें: सार्वजनिक HTTP/2/TLS एंडपॉइंट को WAF/लोड बैलेंसर के पीछे सीमित करें, यदि संभव हो तो नेटवर्क किनारे पर गलत HTTP/2 को ब्लॉक करें।
  • उच्च-जोखिम प्रक्रियाओं को उपकरण करें और सैंडबॉक्स करें; कम-विश्वसनीय कार्यभार को अलग प्रक्रियाओं या कंटेनरों में चलाएं जिनमें मजबूत OS-स्तरीय अलगाव हो।
  • अनुमति-मॉडल उपयोगकर्ताओं के लिए, पैच किए गए प्लेटफार्मों के लागू होने तक सुरक्षा-क्रिटिकल अलगाव के लिए प्रयोगात्मक अनुमति फ्लैग पर भरोसा करने से बचें। (nodejs.org)

एक अंतिम व्यावहारिक टिप

• रिलीज़ निर्भरता (c-ares और undici) को भी अपडेट करता है — सुनिश्चित करें कि जो प्रोजेक्ट undici को वेंडर या एम्बेड करते हैं या जिनके पास मूल बाइंडिंग हैं, वे Node अपग्रेड के बाद फिर से बनाएं और पुनः परीक्षण करें। (nodejs.org)

स्रोत

स्रोत

• Source