Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Node 5.7 devra s'adapter à la faille de sécurité d'OpenSSL
La plateforme JavaScript utilise OpenSSL dans plusieurs versions

Le , par vermine

0PARTAGES

4  0 

L'équipe de Node vient d'annoncer la sortie de la révision 5.7.

Cette nouvelle version contient :

  • un argument d'encodage pour les buffers ;
  • une option 'shell' pour spawn() et spawnSync() pour permettre l'exécution de commande dans une invite de commande ;
  • une propriété indiquant si le serveur est à l'écoute de connexion ;
  • de meilleures performances ;
  • etc.


De son côté, l'équipe d'OpenSSL a annoncé une révision importante concernant plusieurs défauts relativement graves au sujet de leur stratégie de sécurité. Node.js utilise OpenSSL (Node.js v0.10 et v0.12 utilisent OpenSSL v1.0.1, tandis que Node.js v4 et v5 utilisent OpenSSL v1.0.2) et risque d'être en partie impacté. L'équipe est en train d'étudier la question et va peut-être sortir une mise à jour dans la semaine.

Cependant, la gravité ne serait pas aussi importante que cela et concerne des cas de configurations particuliers. De plus, les derniers développements de OpenSSL suivent l'évolution de Node.js 5.7.0 qui s'approche de plus en plus de la version 6.0.0. L'équipe pense que plusieurs utilisateurs vont attendre la version 6.0.0 qui sortira fin avril plutôt que d'utiliser les versions 5.x.

Documentation de la version 5.7
Télécharger Node.js

Sources : Article sur le blog de Node et sur InfoWorld.

Et vous ?

Êtes-vous impacté par ces défauts de sécurité ?

Voir aussi

Les cours et tutoriels du JavaScript côté serveur

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gretro
Membre actif https://www.developpez.com
Le 02/03/2016 à 17:53
En même temps, y a-t-il vraiment beaucoup de gens qui utilisent SSL sur Node?

Perso, je laisse Node en http sur un port bâtard et j'installe un nginx en mode proxy inversé qui lui est en HTTP / HTTPS.

Y a-t-il d'autres options sérieuses pour un serveur en production?
0  0