중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.
주요 변경 사항
- http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다. - http-parser: 2.3.0 버전에서 2.3.1 버전으로 업그레이드 했습니다.
- openssl: 1.0.1q 버전에서 1.0.1r 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다. - src:
- 특정 CVE 수정 사항을 선택적으로 되돌리는
--security-revert={cvenum}명령행 플래그를 새롭게 도입했습니다. --security-revert=CVE-2016-2216를 사용하면 CVE-2016-2216에 대한 수정 사항만 선택적으로 되돌릴 수 있습니다.
- 특정 CVE 수정 사항을 선택적으로 되돌리는
- build:
- 0.12.10 버전부터 v0.12 빌드를 nodejs.org에서 xz 방식으로 압축된 tar 파일로 받을 수 있습니다.
- 0.12.10 버전부터 v0.12 빌드에 해당하는 headers.tar.gz 파일을 nodejs.org에서 받을 수 있습니다. 이 파일을 사용하려면 node-gyp가 업데이트 되어야 합니다.
Commits:
- [4312848bff] - build: enable xz compressed tarballs where possible (Rod Vagg) https://github.com/nodejs/node/pull/4894
- [247626245c] - deps: upgrade openssl sources to 1.0.1r (Shigeki Ohtsu) https://github.com/joyent/node/pull/25368
- [744c9749fc] - deps: update http-parser to version 2.3.1 (James M Snell)
- [d1c56ec7d1] - doc: clarify v0.12.9 notable items (Rod Vagg) https://github.com/nodejs/node/pull/4154
- [e128d9a5b4] - http: strictly forbid invalid characters from headers (James M Snell)
- [bdb9f2cf89] - src: avoiding compiler warnings in node_revert.cc (James M Snell)
- [23bced1fb3] - src: add --security-revert command line flag (James M Snell)
- [f41a3c73e7] - tools: backport tools/install.py for headers (Richard Lau) https://github.com/nodejs/node/pull/4149
Windows 32-bit Installer: https://nodejs.org/dist/v0.12.10/node-v0.12.10-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v0.12.10/x64/node-v0.12.10-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v0.12.10/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v0.12.10/x64/node.exe
Mac OS X Universal Installer: https://nodejs.org/dist/v0.12.10/node-v0.12.10.pkg
Mac OS X 64-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-darwin-x64.tar.gz
Mac OS X 32-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-darwin-x86.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-linux-x86.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-linux-x64.tar.gz
SunOS 32-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-sunos-x86.tar.gz
SunOS 64-bit Binary: https://nodejs.org/dist/v0.12.10/node-v0.12.10-sunos-x64.tar.gz
Source Code: https://nodejs.org/dist/v0.12.10/node-v0.12.10.tar.gz
Other release files: https://nodejs.org/dist/v0.12.10/
Documentation: https://nodejs.org/docs/v0.12.10/api/
Shasums (GPG signing hash: SHA512, file hash: SHA256):
1 | -----BEGIN PGP SIGNED MESSAGE----- |