다음 보안 취약점을 알리는 글입니다.
- CVE-2015-8027: 영향력이 큰 서비스 거부(Denial of Service, DoS) 취약점
- CVE-2015-6764: 영향력이 낮은 V8 out-of-bounds 접근 취약점
CVE-2015-8027 서비스 거부(DoS) 취약점
설명 및 CVSS 점수
v0.12.x부터 v5.x까지 모든 Node.js 버전에 외부 공격자가 서비스 거부(DoS)를 일으킬 수 있는 버그가 있습니다. 이 문제의 심각도는 높게 평가되었으며(아래 CVSS 항목 참고) 해당 버전을 사용하고 있는 사용자는 버그 픽스가 나오면 업그레이드 해야합니다.
- Node.js 0.10.x 버전은 아무런 영향이 없습니다.
- Node.js 0.12.x 버전은 취약할 수 있습니다.
- LTS Argon을 포함한 Node.js 4.x 버전은 취약할 수 있습니다.
- Node.js 5.x 버전은 취약할 수 있습니다.
이 취약점에 관한 상세 내용은 2015년 12월 2일 수요일(UTC)(미국 시간 기준 12월 1일 화요일)에 새 버전이 릴리스되기 전까지 공개되지 않습니다.
공통 취약점 평가 체계 (CVSS) v3 기본 점수
| 평가 항목 | 점수 |
|---|---|
| 기본 점수: | 7.5 (높음) |
| 기본 벡터: | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| 공격 벡터: | 네트워크 (AV:N) |
| 공격 난이도: | 낮음 (AC:L) |
| 필요 권한: | 없음 (PR:N) |
| 사용자 상호작용: | 없음 (UI:N) |
| 영향 범위: | 변경사항 없음 (S:U) |
| 기밀성 영향: | 없음 (C:N) |
| 무결성 영향: | 없음 (I:N) |
| 가용성 영향: | 높음 (A:H) |
전체 CVSS v3 벡터: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:R/CR:L/IR:L/AR:H/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H. 벡터의 각 구성 요소의 의미와 적용은 CVSS v3 명세를 참고하기 바랍니다.
CVE-2015-8027은 MITRE CVE 사전과 NIST NVD에 등재되었습니다.
CVE-2015-6764 V8 Out-of-bounds 접근 취약점
설명 및 CVSS 점수
Node.js v4.x와 v5.x 모든 버전에 응용 프로그램이 사용자가 제공한 자바스크립트를 실행할 수 있을 때 공격자가 out-of-bounds 접근과 서비스 거부 공격을 일으킬 수 있는 버그가 있습니다. 이 문제의 심각도는 Node.js 사용자에게 중간 수준으로 평가되었지만(아래 CVSS 점수 참고), Node.js 애플리케이션에서 사용자가 제공한 자바스크립트를 실행할 때만 공격이 가능합니다. 이 취약점에 관한 버그 픽스는 CVE-2015-8027에 관한 버그 픽스와 함께 v4.x와 v5.x 릴리스에 포함될 것입니다.
- Node.js 0.10.x 버전은 아무런 영향이 없습니다.
- Node.js 0.12.x 버전은 아무런 영향이 없습니다.
- LTS Argon을 포함한 Node.js 4.x 버전은 취약할 수 있습니다.
- Node.js 5.x 버전은 취약할 수 있습니다.
이 취약점에 관한 상세 내용은 2015년 12월 2일 수요일(UTC)(미국 시간 기준 12월 1일 화요일)에 새 버전이 릴리스되기 전까지 공개되지 않습니다.
공통 취약점 평가 체계 (CVSS) v3 기본 점수
| 평가 항목 | 점수 |
|---|---|
| 기본 점수: | 4.4 (중간) |
| 기본 벡터: | CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H |
| 공격 벡터: | 네트워크 (AV:N) |
| 공격 난이도: | 중간 (AC:H) |
| 필요 권한: | 높음 (PR:H) |
| 사용자 상호작용: | 없음 (UI:N) |
| 영향 범위: | 변경사항 없음 (S:U) |
| 기밀성 영향: | 없음 (C:N) |
| 무결성 영향: | 없음 (I:N) |
| 가용성 영향: | 높음 (A:H) |
전체 CVSS v3 벡터: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:R/CR:L/IR:L/AR:M/MAV:N/MAC:H/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H. 벡터의 각 구성 요소의 의미와 적용은 CVSS v3 명세를 참고하기 바랍니다.
CVE-2015-6764는 MITRE CVE 사전과 NIST NVD에 등재되었습니다.
조치 및 업데이트
**2015년 12월 2일 수요일(UTC)**에 CVS-2015-8027과 CVE-2015-6764(v4.x와 v5.x만 해당)에 대한 버그 픽스를 탑재한 v0.12.x, v4.x, v5.x 버전이 새로 릴리스됩니다. 또한 사용자가 전체 영향 평가를 해볼 수 있도록 해당 버그에 관한 상세 사항도 새 릴리스와 함께 공개됩니다.
연락처 및 향후 업데이트
Node.js의 취약점을 보고하고 싶다면 security@nodejs.org으로 연락주시기 바랍니다.
Node.js 및 nodejs GitHub 조직에서 유지하는 프로젝트의 보안 취약점에 관한 최신 정보를 받아보고 싶다면 nodejs-sec 메일링 리스트를 구독하세요. nodejs-sec 메일링 리스트는 https://groups.google.com/forum/#!forum/nodejs-sec에서 구독 신청할 수 있습니다.