10월 보안 릴리스와 v6 "Boron" 보안 수정사항

(2016년 10월 18일 수정) 릴리스 되었습니다.

Node.js의 모든 릴리스에 업데이트가 적용되었습니다.

다른 릴리스는 모두 CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제” 취약점이 수정되었습니다.

추가로 새로운 LTS인 Node.js v6 “Boron” 릴리스 라인을 Node.js v6.9.0(LTS “Boron”)*부터 사용할 수 있습니다. 장기지원 과정에 따라 이번 릴리스에는 v6.x에만 적용되는 보안 문제도 수정되었습니다.

  • openssl.cnf의 자동 로딩 비활성화: OPENSSL_CONF 환경변수나 플랫폼의 기본 경로에서 OpenSSL 설정 파일을 자동으로 로드하려고 하지 마세요. 설정 파일을 로드하는 것은 항상 공격자가 기본 경로에 파일을 둘 수 있다면 Node.js 프로세스에 조작된 OpenSSL 설정을 로드하게 할 수 있습니다.
  • V8 임의 메모리 읽기 수정 (CVE-2016-5172): 범위를 잘못 다룬 V8 파서가 잠재적으로 공격자가 잘 만든 JavaScript 코드로 임의의 메모리 위치에서 민감한 정보를 가져갈 수도 있습니다. 이 취약점은 공격자가 Node.js 프로세스에서 임의의 JavaScript 코드를 실행할 수 있어야 합니다.
  • 유일한 v8_inspector 웹 소켓 주소 생성: 인스펙터 실행마다 UUID를 생성합니다. 이는 --inspect로 실행했을 때 인증되지 않은 클라이언트가 v8_inspector 포트로 Node.js 프로세스에 연결하는 것을 차단해서 추가로 보안을 강화합니다. 디버깅 프로토콜에서는 실행 중인 프로세스 내부에 더 많은 접근을 허용하고 임의의 코드를 실행할 수 있으므로 인증된 도구로만 접근을 제한하는 것이 중요합니다. Node.js에서 v8_inspector 프로토콜은 아직 실험적인 기능입니다. 이 취약점은 Jann Horn이 최초로 보고했습니다.

이번 취약점은 모두 Node.js 사용자에게는 심각도가 낮지만 Node.js v6.x 사용자는 최대한 빨리 업그레이드해야 합니다.

아랫부분부터 원래의 글입니다.


Node.js v6 LTS 보안 수정사항

다음 주 18일 화요일에(UTC 기준 저녁 늦게) Node.js 재단은 v6.x 릴리스의 연장선인 두 번째 LTS 릴리스 라인을 발표할 것입니다. 이 릴리스 라인의 코드 네임은 “Boron”이고 첫 버전은 v6.9.0이 될 것입니다.

process.release.lts 프로퍼티가 'Boron'으로 설정되어 있습니다. v6.x 릴리스에만 적용되는 심각도가 낮은 세 가지 보안 패치도 포함되어 있습니다.

이 보안 취약점들은 심각도가 낮고 Node.js 의존성에서 발생했습니다.

  • V8
  • FIPS 호환 모드에서 빌드된 Node.js의 OpenSSL (공식 빌드가 아닙니다.)
  • v8_inspector, 실험적인 새 디버깅 프로토콜

이 수정사항은 이번 달 후반에 발표될 새로운 v7.x 현재 버전(LTS 아님) 릴리스에도 포함되어 있습니다.

  • Node.js v6은 영향받습니다.
  • Node.js v4(LTS “Argon”)는 영향받지 않습니다.
  • Node.js v0.12(유지보수 버전)는 영향받지 않습니다.
  • Node.js v0.10(유지보수 버전)은 영향받지 않습니다.

CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제”

모든 Node.js 버전에 포함된 c-ares 라이브러리에서 발견된 보안 취약점입니다. 이 보안 취약점을 이용하기가 어려우므로 현재 Node.js 사용자에게 영향을 주는 보안 심각도는 낮은 것으로 간주하였습니다.

Node.js v6에는 이미 수정되었고 18일 화요일에 배포할 버전에도 수정내용이 포함될 것입니다.

  • Node.js v6은 영향 받지 않습니다.
  • Node.js v4(LTS “Argon”)는 영향받습니다.
  • Node.js v0.12(유지보수 버전)는 영향받습니다.
  • Node.js v0.10(유지보수 버전)은 영향받습니다.

이번 릴리스를 갑자기 알리게 되어 죄송합니다.