Node.js 2025年12月安全发布：全栈团队必须立即部署的关键运行时和依赖修复

总结

在2026年1月13日，Node.js项目发布了协调的安全更新，修复了多个影响活动发布线（20.x、22.x、24.x、25.x）的高和中严重性运行时及依赖漏洞。该集合包括对缓冲区分配中未初始化内存暴露、通过精心构造的符号链接逃逸文件系统权限、由于格式错误的HTTP/2帧导致的远程崩溃以及对关键依赖（c-ares、undici）的更新的修复。这些漏洞对服务器端JavaScript服务和边缘/托管运行时构成了机密性、完整性和可用性风险——全栈团队应将此视为紧急平台更新。(nodejs.org)

为什么这很重要（实际影响）

• 缓冲区分配竞争（CVE-2025-55131）：在特定的超时/竞争条件下，Buffer.alloc和类似的TypedArray分配可能未填充为零，可能暴露进程中的秘密或在代码使用vm模块的超时时导致数据损坏。管理长时间运行进程、内存中的秘密或依赖进程隔离的服务面临风险。(nodejs.org)
• 文件系统权限绕过（CVE-2025-55130）：精心构造的相对符号链接链可以逃逸Node的文件系统权限模型（实验性权限标志），允许在意图目录之外进行读/写——对依赖Node级隔离的沙箱和构建运行器来说非常危险。(nodejs.org)
• HTTP/2服务器崩溃（CVE-2025-59465）：格式错误的HEADERS帧与无效的HPACK数据可能触发未处理的错误和远程进程崩溃，使得使用Node的HTTP/2堆栈的HTTPS服务器面临拒绝服务攻击。(nodejs.org)
• 依赖修补：对c-ares（1.34.6）和undici（6.23.0 / 7.18.0）的更新是此次发布的一部分——使用或捆绑这些库的应用程序和框架可能需要重建或更新依赖。(nodejs.org)

立即行动检查清单（高优先级）

1. 在所有环境（CI、开发镜像、预发布、生产）中升级Node到此次公告发布的修补版本（20.20.0、22.22.0、24.13.0、25.3.0，视情况而定），并重建任何容器或运行时工件。将此视为面向互联网的服务的强制性要求。在全面部署之前，在金丝雀环境中测试部署。(nodejs.org)

2. 重建并重新发布容器镜像和函数包。不要假设云提供商的托管Node运行时已经更新——验证提供商镜像版本，并将重建的镜像推送到您控制运行时的注册表（ECR/GCR/Azure容器注册表）。验证您的编排器的节点镜像（k8s节点、Fargate任务等）。(nodejs.org)

3. 固定和/或更新直接使用的undici和c-ares。在您的代码或框架中使用undici或c-ares的地方，更新到公告中提到的修补版本（undici 6.23.0 / 7.18.0，c-ares 1.34.6），并运行依赖重建。如果您依赖锁定文件，请重新生成它们并运行完整的CI依赖测试。(nodejs.org)

4. 审核增加暴露的代码模式：

   • 搜索使用vm的超时选项的情况，以及在超时或不可信输入影响分配节奏的上下文中调用Buffer.alloc / Buffer.allocUnsafe的代码。用显式零填充替换不安全的分配，或重新设计以避免依赖分配时机。(nodejs.org)
   • 避免仅依赖Node的实验性权限标志进行隔离；在可能的情况下，强制执行容器/操作系统级别的控制（只读挂载、seccomp、AppArmor、chroot）。(nodejs.org)

5. 加强错误处理和TLS/HTTP堆栈：

   • 确保TLS回调（pskCallback、ALPN）和在握手期间使用的任何用户提供的回调都被安全的try/catch包裹，并确保您的进程具有适当的错误处理程序，以避免未处理的异常和描述符泄漏。(nodejs.org)
   • 对于HTTP/2服务器，添加对secureConnection/socket错误事件的强健处理，并在解析原始帧时实现连接限制和合理的帧大小限制。(nodejs.org)

6. CI / SRE检查

   • 添加或更新CI矩阵，以包括修补的Node版本，并在这些运行时下运行集成测试。
   • 添加模拟格式错误的HTTP/2帧和激进TLS握手场景的冒烟测试（在非生产环境中），以确保服务稳定性。
   • 运行快速依赖扫描（SCA）并重建锁定文件；考虑在CI中强制重建，以确保本机附加组件或捆绑库链接到修补的c-ares/undici。(nodejs.org)

7. 事件分类和秘密

   • 对于无法立即升级的工作负载，应用补偿控制（限制网络暴露、隔离受影响服务、增加监控）。
   • 由于缓冲区分配问题可能在罕见的时机窗口中暴露进程数据，如果您怀疑凭证或令牌的暴露，请旋转受影响进程提供的秘密和密钥。(nodejs.org)

发布说明和长期建议

• 将服务器和构建/服务运行时（CI代理、构建服务器、工件运行器）视为与生产Web服务同样紧急——暴露的构建代理可能泄露秘密或在工件中持久化后门。
• 对于使用边缘或托管运行时的团队（嵌入Node的平台），验证提供商时间表——某些提供商可能滞后，需要您使用修补的Node二进制文件重新打包。
• 在您的发布日历中保持Node LTS版本的自动修补窗口，并为紧急Node安全升级添加快速路径（自动镜像构建+金丝雀部署）。
• 考虑增加运行时隔离（较小的爆炸半径）并减少在长时间运行的进程内存中保留的秘密；在可行的情况下，使用具有短TTL的外部秘密服务。

底线

此次协调的Node.js安全发布修复了几个可能影响服务器端JavaScript服务的机密性、完整性和可用性的问题。全栈团队应优先升级到修补的Node版本，重建工件，更新关键依赖（undici、c-ares），加强错误处理，并验证提供商运行时——然后在怀疑暴露的情况下旋转秘密。遵循正常的部署卫生（金丝雀、健康检查、可观察性）并迅速行动：这些修复广泛适用，并影响多个活动的Node发布线。(nodejs.org)

来源：

来源

• Source