Node 0.10.33 est disponible et corrige une faille de sécurité SSLv2 et SSLv3
Le 2014-10-31 12:09:26, par vermine, Expert éminent sénior
Node 0.10.33 est disponible et corrige une faille de sécurité SSLv2 et SSLv3
L'équipe de Node vient d'annoncer la sortie de la révision 0.10.33.
Cette version contient, d'une part, des mises à jour des packages uv et openssl et, d'autre part, un patch pour corriger la vulnérabilité "POODLE" en désactivant SSLv2/SSLv3 par défaut pour la plupart des utilisations de TLS dans Node.js.
Cette modification explique le temps passé depuis la précédente révision. L'équipe voulait être sûr que les changements n'engendrent pas d'impact négatif.
En fait, Node.js est compilé par défaut avec le support des protocoles SSLv2 et SSLv3, mais ces protocoles sont désormais désactivés. Ils sont considérés comme non sécurisés. Il y a toutefois un moyen pour forcer leur utilisation.
L'équipe de Node vient d'annoncer la sortie de la révision 0.10.33.
Cette version contient, d'une part, des mises à jour des packages uv et openssl et, d'autre part, un patch pour corriger la vulnérabilité "POODLE" en désactivant SSLv2/SSLv3 par défaut pour la plupart des utilisations de TLS dans Node.js.
Cette modification explique le temps passé depuis la précédente révision. L'équipe voulait être sûr que les changements n'engendrent pas d'impact négatif.
En fait, Node.js est compilé par défaut avec le support des protocoles SSLv2 et SSLv3, mais ces protocoles sont désormais désactivés. Ils sont considérés comme non sécurisés. Il y a toutefois un moyen pour forcer leur utilisation.