2017년 9월. 경로 유효성 검사 취약점

경로 유효성 검사 취약점 (2017년 9월 29일 갱신되었습니다. - CVE가 할당되었습니다.)

이번 주에 Node.js 프로젝트는 8.x의 새 버전을 릴리스했습니다. 이 릴리스는 보안 수정사항을 포함합니다.

영향

Node.js 8.5.0 버전은 취약합니다. 4.x와 6.x 버전은 취약하지 않습니다.

다운로드

Node.js 8(현재 버전)

Node.js에 한정된 보안 결함

Node.js 8.5.0 버전에는 일부 커뮤니티 모듈이 만든 경로를 검사할 때 보안 취약점을 만드는 변경사항이 포함되어 있습니다. 그에 따라 의도치 않은 파일 시스템 경로에 공격자가 접근할 수 있었습니다.

이 문제는 https://github.com/nodejs/node/commit/b98e8d995efb426bbdee56ce503017bdcbbc6332를 부분적으로 되돌리면서 Node.js 내에서 해결되었습니다.

CVE는 CVE-2017-14849로 할당되었습니다.

연락처와 차후 업데이트

현재 Node.js 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.

Node.js의 취약점을 보고하려면 security@nodejs.org로 연락해주세요.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면 https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는 nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.