(2016년 10월 18일 수정) 릴리스 되었습니다.
Node.js의 모든 릴리스에 업데이트가 적용되었습니다.
다른 릴리스는 모두 CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제”
취약점이 수정되었습니다.
추가로 새로운 LTS인 Node.js v6 “Boron” 릴리스 라인을
*Node.js v6.9.0(LTS “Boron”)**부터
사용할 수 있습니다. 장기지원 과정에 따라 이번 릴리스에는 v6.x에만 적용되는 보안 문제도 수정되었습니다.
- openssl.cnf의 자동 로딩 비활성화:
OPENSSL_CONF환경변수나 플랫폼의 기본 경로에서
OpenSSL 설정 파일을 자동으로 로드하려고 하지 마세요. 설정 파일을 로드하는 것은 항상 공격자가
기본 경로에 파일을 둘 수 있다면 Node.js 프로세스에 조작된 OpenSSL 설정을 로드하게 할 수 있습니다. - V8 임의 메모리 읽기 수정 (CVE-2016-5172):
범위를 잘못 다룬 V8 파서가 잠재적으로 공격자가 잘 만든 JavaScript 코드로 임의의 메모리 위치에서
민감한 정보를 가져갈 수도 있습니다. 이 취약점은 공격자가 Node.js 프로세스에서 임의의
JavaScript 코드를 실행할 수 있어야 합니다. - 유일한
v8_inspector웹 소켓 주소 생성: 인스펙터 실행마다 UUID를 생성합니다. 이는
--inspect로 실행했을 때 인증되지 않은 클라이언트가v8_inspector포트로 Node.js
프로세스에 연결하는 것을 차단해서 추가로 보안을 강화합니다. 디버깅 프로토콜에서는 실행 중인
프로세스 내부에 더 많은 접근을 허용하고 임의의 코드를 실행할 수 있으므로 인증된 도구로만 접근을
제한하는 것이 중요합니다. Node.js에서v8_inspector프로토콜은 아직 실험적인 기능입니다.
이 취약점은 Jann Horn이 최초로 보고했습니다.
이번 취약점은 모두 Node.js 사용자에게는 심각도가 낮지만 Node.js v6.x 사용자는
최대한 빨리 업그레이드해야 합니다.
아랫부분부터 원래의 글입니다.
Node.js v6 LTS 보안 수정사항
다음 주 18일 화요일에(UTC 기준 저녁 늦게) Node.js 재단은 v6.x 릴리스의 연장선인 두 번째
LTS 릴리스 라인을 발표할 것입니다. 이 릴리스 라인의 코드 네임은 "Boron"이고
첫 버전은 v6.9.0이 될 것입니다.
process.release.lts 프로퍼티가 'Boron'으로 설정되어 있습니다. v6.x 릴리스에만 적용되는
심각도가 낮은 세 가지 보안 패치도 포함되어 있습니다.
이 보안 취약점들은 심각도가 낮고 Node.js 의존성에서 발생했습니다.
- V8
- FIPS 호환 모드에서 빌드된
Node.js의 OpenSSL (공식 빌드가 아닙니다.) - v8_inspector, 실험적인 새 디버깅 프로토콜
이 수정사항은 이번 달 후반에 발표될 새로운 v7.x 현재 버전(LTS 아님) 릴리스에도 포함되어 있습니다.
- Node.js v6은 영향받습니다.
- Node.js v4(LTS “Argon”)는 영향받지 않습니다.
- Node.js v0.12(유지보수 버전)는 영향받지 않습니다.
- Node.js v0.10(유지보수 버전)은 영향받지 않습니다.
CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제”
모든 Node.js 버전에 포함된
c-ares 라이브러리에서 발견된
보안 취약점입니다. 이 보안 취약점을 이용하기가 어려우므로 현재 Node.js 사용자에게 영향을 주는
보안 심각도는 낮은 것으로 간주하였습니다.
Node.js v6에는 이미 수정되었고 18일 화요일에 배포할 버전에도 수정내용이 포함될 것입니다.
- Node.js v6은 영향 받지 않습니다.
- Node.js v4(LTS “Argon”)는 영향받습니다.
- Node.js v0.12(유지보수 버전)는 영향받습니다.
- Node.js v0.10(유지보수 버전)은 영향받습니다.
이번 릴리스를 갑자기 알리게 되어 죄송합니다.