CVE-2015-8027 서비스 거부 취약점 / CVE-2015-6764 V8 Out-of-bounds 접근 취약점

다음 보안 취약점을 알리는 글입니다.

  • CVE-2015-8027: 영향력이 큰 서비스 거부(Denial of Service, DoS) 취약점
  • CVE-2015-6764: 영향력이 낮은 V8 out-of-bounds 접근 취약점

CVE-2015-8027 서비스 거부(DoS) 취약점

설명 및 CVSS 점수

v0.12.x부터 v5.x까지 모든 Node.js 버전에 외부 공격자가 서비스 거부(DoS)를 일으킬 수 있는 버그가 있습니다. 이 문제의 심각도는 높게 평가되었으며(아래 CVSS 항목 참고) 해당 버전을 사용하고 있는 사용자는 버그 픽스가 나오면 업그레이드 해야합니다.

  • Node.js 0.10.x 버전은 아무런 영향이 없습니다.
  • Node.js 0.12.x 버전은 취약할 수 있습니다.
  • LTS Argon을 포함한 Node.js 4.x 버전은 취약할 수 있습니다.
  • Node.js 5.x 버전은 취약할 수 있습니다.

이 취약점에 관한 상세 내용은 2015년 12월 2일 수요일(UTC)(미국 시간 기준 12월 1일 화요일)에 새 버전이 릴리스되기 전까지 공개되지 않습니다.

공통 취약점 평가 체계 (CVSS) v3 기본 점수

평가 항목 점수
기본 점수: 7.5 (높음)
기본 벡터: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
공격 벡터: 네트워크 (AV:N)
공격 난이도: 낮음 (AC:L)
필요 권한: 없음 (PR:N)
사용자 상호작용: 없음 (UI:N)
영향 범위: 변경사항 없음 (S:U)
기밀성 영향: 없음 (C:N)
무결성 영향: 없음 (I:N)
가용성 영향: 높음 (A:H)

전체 CVSS v3 벡터: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:R/CR:L/IR:L/AR:H/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H. 벡터의 각 구성 요소의 의미와 적용은 CVSS v3 명세를 참고하기 바랍니다.

CVE-2015-8027은 MITRE CVE 사전NIST NVD에 등재되었습니다.

CVE-2015-6764 V8 Out-of-bounds 접근 취약점

설명 및 CVSS 점수

Node.js v4.x와 v5.x 모든 버전에 응용 프로그램이 사용자가 제공한 자바스크립트를 실행할 수 있을 때 공격자가 out-of-bounds 접근과 서비스 거부 공격을 일으킬 수 있는 버그가 있습니다. 이 문제의 심각도는 Node.js 사용자에게 중간 수준으로 평가되었지만(아래 CVSS 점수 참고), Node.js 애플리케이션에서 사용자가 제공한 자바스크립트를 실행할 때만 공격이 가능합니다. 이 취약점에 관한 버그 픽스는 CVE-2015-8027에 관한 버그 픽스와 함께 v4.x와 v5.x 릴리스에 포함될 것입니다.

  • Node.js 0.10.x 버전은 아무런 영향이 없습니다.
  • Node.js 0.12.x 버전은 아무런 영향이 없습니다.
  • LTS Argon을 포함한 Node.js 4.x 버전은 취약할 수 있습니다.
  • Node.js 5.x 버전은 취약할 수 있습니다.

이 취약점에 관한 상세 내용은 2015년 12월 2일 수요일(UTC)(미국 시간 기준 12월 1일 화요일)에 새 버전이 릴리스되기 전까지 공개되지 않습니다.

공통 취약점 평가 체계 (CVSS) v3 기본 점수

평가 항목 점수
기본 점수: 4.4 (중간)
기본 벡터: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H
공격 벡터: 네트워크 (AV:N)
공격 난이도: 중간 (AC:H)
필요 권한: 높음 (PR:H)
사용자 상호작용: 없음 (UI:N)
영향 범위: 변경사항 없음 (S:U)
기밀성 영향: 없음 (C:N)
무결성 영향: 없음 (I:N)
가용성 영향: 높음 (A:H)

전체 CVSS v3 벡터: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:R/CR:L/IR:L/AR:M/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H. 벡터의 각 구성 요소의 의미와 적용은 CVSS v3 명세를 참고하기 바랍니다.

CVE-2015-6764는 MITRE CVE 사전NIST NVD에 등재되었습니다.

조치 및 업데이트

2015년 12월 2일 수요일(UTC)에 CVS-2015-8027과 CVE-2015-6764(v4.x와 v5.x만 해당)에 대한 버그 픽스를 탑재한 v0.12.x, v4.x, v5.x 버전이 새로 릴리스됩니다. 또한 사용자가 전체 영향 평가를 해볼 수 있도록 해당 버그에 관한 상세 사항도 새 릴리스와 함께 공개됩니다.

연락처 및 향후 업데이트

Node.js의 취약점을 보고하고 싶다면 security@nodejs.org으로 연락주시기 바랍니다.

Node.js 및 nodejs GitHub 조직에서 유지하는 프로젝트의 보안 취약점에 관한 최신 정보를 받아보고 싶다면 nodejs-sec 메일링 리스트를 구독하세요. nodejs-sec 메일링 리스트는 https://groups.google.com/forum/#!forum/nodejs-sec에서 구독 신청할 수 있습니다.