경로 유효성 검사 취약점 (2017년 9월 29일 갱신되었습니다. - CVE가 할당되었습니다.)
이번 주에 Node.js 프로젝트는 8.x의 새 버전을 릴리스했습니다.
이 릴리스는 보안 수정사항을 포함합니다.
영향
Node.js 8.5.0 버전은 취약합니다.
4.x와 6.x 버전은 취약하지 않습니다.
다운로드
Node.js에 한정된 보안 결함
Node.js 8.5.0 버전에는 일부 커뮤니티 모듈이 만든 경로를 검사할 때 보안 취약점을 만드는
변경사항이 포함되어 있습니다. 그에 따라 의도치 않은 파일 시스템 경로에 공격자가 접근할 수 있었습니다.
이 문제는
https://github.com/nodejs/node/commit/b98e8d995efb426bbdee56ce503017bdcbbc6332를
부분적으로 되돌리면서 Node.js 내에서 해결되었습니다.
CVE는
CVE-2017-14849로
할당되었습니다.
연락처와 차후 업데이트
현재 Node.js 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하려면 security@nodejs.org로 연락해주세요.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.