В очередных обновлениях серверной JavaScript-платформы Node.js 0.10.21 (http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/) и 0.8.26 (http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/) устранена опасная уязвимость, затрагивающая реализацию встроенного http-сервера. Всем пользователям  Node.js рекомендуется как можно скорее установить обновление. В анонсе не сообщаются детали о характере уязвимости, но судя по внесённым изменениям (https://github.com/joyent/node/commit/085dd30e93da67362f044a...) проблема может привести (https://news.ycombinator.com/item?id=6574624) к переполнению буфера через отправку определённым образом сформированного потока http pipeline-запросов. Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании (прототип эксплоита (https://github.com/joyent/node/blob/085dd30e93da67362f044ad1...)).

URL: http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
Новость: https://www.opennet.ru/opennews/art.shtml?num=38207

• В Node.js устранена опасная уязвимость,Пиу, 22:08 , 19-Окт-13
  • В Node.js устранена опасная уязвимость,оНаним, 22:40 , 19-Окт-13
  • В Node.js устранена опасная уязвимость,Ordu, 23:10 , 19-Окт-13
  • В Node.js устранена опасная уязвимость,Reinar, 10:38 , 20-Окт-13
• В Node.js устранена опасная уязвимость,Аноним, 14:12 , 20-Окт-13
  • В Node.js устранена опасная уязвимость,piteri, 15:21 , 20-Окт-13
    • В Node.js устранена опасная уязвимость,Омномом, 16:43 , 20-Окт-13
      • В Node.js устранена опасная уязвимость,piteri, 18:48 , 20-Окт-13
        • В Node.js устранена опасная уязвимость,angra, 21:14 , 20-Окт-13
          • В Node.js устранена опасная уязвимость,piteri, 11:12 , 21-Окт-13
  • В Node.js устранена опасная уязвимость,angra, 21:16 , 20-Окт-13
    • В Node.js устранена опасная уязвимость,piteri, 21:54 , 21-Окт-13
• В Node.js устранена опасная уязвимость,Аноним, 15:27 , 23-Окт-13
• В Node.js устранена опасная уязвимость,Аноним, 01:34 , 20-Ноя-14
  • В Node.js устранена опасная уязвимость,Аноним, 22:10 , 14-Янв-15

> может привести к переполнению буфера

Переполнение буфера (Buffer Overflow) — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. (wiki)

---

а в этом случае я так понимаю просто DDoS

Ну да. Так и написано
> Как минимум указанная уязвимость даёт возможность легко вызвать удалённый отказ в обслуживании

> а в этом случае я так понимаю просто DDoS

Не DDoS, а DoS. Без "distributed." Путём переполнения буфера, кладётся серверный процесс. Обслуживание клиентов прекращается вплоть до перезапуска процесса.

Потенциально такие уязвимости всегда оцениваются как RCE (remote code execution), но т.к на практике его удаётся достичь далеко не всегда, то и написали DoS - который можно вызвать гарантированно.

Встроенный веб-сервер в продакшене - отличительный костыль node.js

Это не костыль, с этого всё и началось.

Всё началось с того, что не смогли установить Nginx? ))

Типа того.
Сделать из v8 модуль к apache или nginx они не осилили и сделали шиворот-навыворот.

Зачем делать заведомо неправильную вещь? Практика давно показала, что mod_ЯП куда хуже, чем отдельный процесс ЯП.

Чья практика? Чем хуже? Неужели хуже чем встроенный в ЯП сервер?

Попробуй аргументировать почему это плохо, предложи лучшие альтернативы. Заодно посмотри, что делают в других фреймворках, и удивись.

Это не очевидно?

В чому проблема із nodejs http модулем? Ви тут що наглухо відбиті уже...

Некро-камент:
------------------------
ngx_v8 - для Ngnix
mod-v8js - для Apache  

и нафиг выбрасывать голожопые HTTP-сервера на JS
вы бы еще IIS поставили...

Некро-ответ:
------------------

Node - это инфраструктура и огромное сообщество. Указанным модулям даже не снится такое.