보안 릴리스입니다. 인증서 누출 취약점 때문에 내장된 npm의 버전을 업그레이드 했습니다. 추가 정보는
https://nodejs.github.io/nodejs-ko/articles/2016/03/31/npm-security-updates-v2.15.1-and-v3.8.3/에서
볼 수 있습니다.
Node.js v0.12.13이 v0.12 릴리스 라인의 마지막 LTS 릴리스가 될 것이므로 다음 달부터
v0.12는 유지보수 상태로 들어갑니다. 유지보수 상태로 들어감에 따라 주로 중요한 보안이나 안정성에 대한
수정만 v0.12 릴리스에 적용될 것입니다. v0.12는 2016년 말까지 지원될 것이지만 가능한 한 최신 릴리스
라인으로 갈아타는 것이 중요합니다. 현재는 **v4(LTS “Argon”)**를 추천합니다.
수정사항: 이번 릴리스에 포함된 npm 버전은 올바른 버전 문자열을 갖지 않습니다.
npm -v를 실행했을 때 2.15.1가 아니라 잘못된 2.15.0로 표시될 것입니다. 이번 릴리스에 포함된
소스코드는 보안 수정을 포함한 2.15.1의 소스입니다.
주요 변경사항
- npm: v2.15.1로 업그레이드했습니다. HTTP 요청의 인증 토큰 사용에 관한 보안 결점을 수정했습니다.
이 요청은 공격자가 커맨드라인 인터페이스 사용자들로부터 토큰을 수집할 수 있는 서버를 설정하는 것을
허용할 수 있습니다. 인증 토큰은 그 요청의 목적지에 상관없이, 로그인한 사용자들에 대한 CLI에 의해
만들어진 모든 요청에 함께 전송되었습니다. 이번 업데이트는 현재 설치에 사용되는 레지스트리에 불리하게
작용하는 요청들에 대한 토큰들만을 포함해 이를 수정했습니다.
(Forrest L Norvell) https://github.com/nodejs/node/pull/5967 - openssl: OpenSSL v1.0.1s에서 쓸모없고 안전하지 않다고 여겨지는 EXPORT와 LOW 암호를
비활성화했습니다. 이번 Node.js의 릴리스는 이들 목록 중 SSLv3 또는 상위 버전에서 사용될 수 있는
27개의 암호를 완전히 비활성화하는 ‘OPENSSL_NO_WEAK_SSL_CIPHERS’ 옵션을 켭니다. 모든
세부사항은 이 문제에 대한 LTS 토론(https://github.com/nodejs/LTS/issues/85)에서
찾아볼 수 있습니다. (Shigeki Ohtsu) https://github.com/nodejs/node/pull/5712
Commits:
- [2ce29165a1] - deps: upgrade npm in LTS to 2.15.1 (Forrest L Norvell)
- [a115779026] - deps: Disable EXPORT and LOW ciphers in openssl (Shigeki Ohtsu) https://github.com/nodejs/node/pull/5712
- [ab907eb5a8] - test: skip cluster-disconnect-race on Windows (Gibson Fahnestock) https://github.com/nodejs/node/pull/5621
- [9c06db7444] - test: change tls tests not to use LOW cipher (Shigeki Ohtsu) https://github.com/nodejs/node/pull/5712
- [154098a3dc] - test: bp fix for test-http-get-pipeline-problem.js (Michael Dawson) https://github.com/nodejs/node/pull/3013
- [ff2bed6e86] - win,build: support Visual C++ Build Tools 2015 (João Reis) https://github.com/nodejs/node/pull/5627
Windows 32-bit Installer: https://nodejs.org/dist/v0.12.13/node-v0.12.13-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v0.12.13/x64/node-v0.12.13-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v0.12.13/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v0.12.13/x64/node.exe
Mac OS X Universal Installer: https://nodejs.org/dist/v0.12.13/node-v0.12.13.pkg
Mac OS X 64-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-darwin-x64.tar.gz
Mac OS X 32-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-darwin-x86.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-linux-x86.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-linux-x64.tar.gz
SmartOS 32-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-sunos-x86.tar.gz
SmartOS 64-bit Binary: https://nodejs.org/dist/v0.12.13/node-v0.12.13-sunos-x64.tar.gz
Source Code: https://nodejs.org/dist/v0.12.13/node-v0.12.13.tar.gz
Other release files: https://nodejs.org/dist/v0.12.13/
Documentation: https://nodejs.org/docs/v0.12.13/api/
Shasums (GPG signing hash: SHA512, file hash: SHA256):
1 | -----BEGIN PGP SIGNED MESSAGE----- |