← 回總覽

Node.js — Node.js 22.22.2 (LTS)

📅 2026-03-25 04:43 Node.js Blog 软件编程 1 分鐘 1062 字 評分: 82
Node.js 安全 发布说明 CVE LTS
📌 一句话摘要 Node.js 22.22.2 (LTS) 是一个关键的安全版本,修复了包括 TLS、HTTP 标头和 Web Crypto 在内的多个漏洞,并更新了相关依赖。 📝 详细摘要 本次 Node.js 22.22.2 (LTS) 版本是一个专注于安全的更新,旨在解决多个 CVE 问题。关键修复包括:将 SNICallback 封装在 try/catch 中,为 headersDistinct 和 trailersDistinct 使用空原型(null prototypes),在 Web Crypto HMAC 中实现时间安全比较,以及为 realpath.native 和 fs

📌 一句话摘要

Node.js 22.22.2 (LTS) 是一个关键的安全版本,修复了包括 TLS、HTTP 标头和 Web Crypto 在内的多个漏洞,并更新了相关依赖。

📝 详细摘要

本次 Node.js 22.22.2 (LTS) 版本是一个专注于安全的更新,旨在解决多个 CVE 问题。关键修复包括:将 SNICallback 封装在 try/catch 中,为 headersDistinct 和 trailersDistinct 使用空原型(null prototypes),在 Web Crypto HMAC 中实现时间安全比较,以及为 realpath.native 和 fs/promises 添加权限检查。此外,该版本还更新了 V8、npm(至 10.9.7)和 undici(至 v6.24.1)。

💡 主要观点

- 针对多个 CVE 的关键安全补丁。 该版本解决了 TLS、HTTP 标头处理和 Web Crypto 中的漏洞,生产环境需要立即关注并更新,以降低潜在的安全风险。

通过权限检查增强安全性。 在 realpath.native 和 lib/fs/promises 中增加了新的权限检查,以提高系统安全性并防止未经授权的文件系统访问。
依赖项和生态系统更新。 包含对 V8、npm(至 10.9.7)和 undici(至 v6.24.1)的更新,在修复安全问题的同时确保了稳定性和性能提升。

💬 文章金句

- 这是一个安全版本。

  • (CVE-2026-21637) 将 SNICallback 调用封装在 try/catch 中
  • (CVE-2026-21710) 为 headersDistinct/trailersDistinct 使用空原型

📊 文章信息

AI 评分:82

来源:Node.js Blog

作者:Node.js Blog

分类:软件编程

语言:英文

阅读时间:2 分钟

字数:446

标签: Node.js, 安全, 发布说明, CVE, LTS

阅读完整文章

查看原文 → 發佈: 2026-03-25 04:43:26 收錄: 2026-03-25 06:00:15

🤖 問 AI

針對這篇文章提問,AI 會根據文章內容回答。按 Ctrl+Enter 送出。