OpenSSL 업데이트, 1.0.2k

(2017년 2월 1일 수정사항) 릴리스 되었습니다.

Node.js의 모든 릴리스 라인이 업데이트 되었습니다.

다음 릴리스에는 OpenSSL 1.0.2k가 포함되어 있습니다.

중대한 업데이트는 아니지만, 이 릴리스 라인을 사용하는 모든 사용자는 가능한 한 빨리 업데이트해야 합니다.

이하는 원문의 내용입니다.


OpenSSL 프로젝트에서 OpenSSL 1.0.2k 버전을 바로 사용할 수 있다고 발표했습니다.

OpenSSL 팀이 최고 심각성 등급을 “중간”으로 결정했지만 Node.js 암호화 팀(Ben Noordhuis, Shigeki Ohtsu, Fedor Indutny)은 Node 사용자에게 미칠 영향을 “낮음”으로 결정했습니다. 이 결정의 자세한 내용은 아래에 나와 있습니다.

그러므로 1월 31일 화요일에 활성화된 모든 릴리스 라인(7 “현재 버전”, 6 “LTS Boron”, 4 “LTS Argon”)을 업데이트하기로 했습니다. 릴리스 되면 nodejs.org 뉴스 피드와 이 글에 자세한 내용을 올릴 예정입니다.

Node.js 영향 평가

CVE-2017-3731: OOB 읽기에서 끝이 잘린 패킷이 크래시를 일으킬 수 있습니다.

이는 OpenSSL에서 중간 등급의 심각도를 가진 결함입니다. 기본적으로 Node.js가 RC4를 비활성화하므로 대부분 사용자는 영향을 받지 않습니다. 프로그래밍적으로 RC4를 활성화할 수 있으므로 Node.js 개발자가 이 결함에 취약한 코드를 만들 수 있습니다. 작성한 코드에서 RC4를 활성화한 사용자는 이 수정사항을 중요하게 여겨야 합니다.

Node.js의 모든 활성 버전이 영향을 받지만, 대부분 사용자에게 심각도는 아주 낮습니다.

CVE-2017-3730: 잘못된 DHE와 ECDHE 파라미터가 클라이언트의 크래시를 일으킬 수 있습니다.

이 결함은 OpenSSL 1.1.0에만 영향을 주고 현재 활성화된 Node.js 릴리스는 이 버전을 포함하고 있지 않으므로 Node.js는 영향을 받지 않습니다.

CVE-2017-3732: x86_64에서 BN_mod_exp가 잘못된 결과를 만들 수 있습니다.

OpenSSL 팀이 언급한 대로 이 결함을 사용해서 실제 공격을 할 가능성은 아주 낮습니다. 게다가 Node.js는 SSL_OP_SINGLE_DH_USE를 활성화했으므로 Node.js 서비스에서 이 취약점을 이용할 가능성은 더 낮아집니다.

Node.js의 모든 활성 버전이 영향을 받지만, 대부분 사용자에게 심각도는 아주 낮습니다.

CVE-2016-7055: 몽고메리 곱셈이 잘못된 결과를 만들 수 있습니다.

어떤 계산이 Intel 브로드웰이나 더 최신 CPU에서 동작할 때 잘못된 결과를 만들 수 있습니다. 이 결함은 GitHub Node.js 팀에서 이미 논의했습니다. 아주 특정 환경이 아니라면 이 취약점을 이용해서 실제 공격을 할 수 있다고 생각하지 않습니다. 그러므로 이는 심각도가 낮은 결함입니다.

Node.js의 모든 활성 버전이 영향을 받지만, 대부분 사용자에게 심각도는 아주 낮습니다.