주요 변경사항
- OpenSSL 1.0.2o로 업그레이드했습니다.: Node.js에 영향을 주는 보안 수정사항은 없습니다.
- 인스펙터 DNS 재바인딩 취약점을 수정했습니다.(CVE-2018-7160): 악의적인 웹사이트가 DNS 재바인딩 공격으로 웹 브라우저를 속여서 동일 출처 정책(same-origin-policy) 검사를 건너뛰고 localhost나 로컬 네트워크 호스트에 HTTP 연결을 할 수 있습니다. 이를 통해 디버거로 인스펙터를 열어서 전체 코드 실행에 대한 접근 권한을 취할 수 있습니다. 이제 인스펙터는 브라우저
Host
값이 DNS 처리가 되지 않거나localhost
,localhost6
인 연결만 허용합니다. 'path'
모듈에서 정규 표현식의 서비스 거부 취약점을 수정했습니다.(CVE-2018-7158): 공격자가 영향을 받은'path'
모듈의 함수 중 하나를 사용해서 특수하게 조작된 경로 문자열을 전달할 수 있는 경우 POSIX 경로를 파싱하는데 사용하는 정규 표현식이 서비스 거부를 일으킬 수 있습니다.- HTTP
Content-Length
헤더 값에서 공백을 허용하지 않습니다.(CVE-2018-7159): Node.js HTTP 파서는Content-Length
헤더 값에 공백을 허용했습니다. 이제 숫자가 아닌 값과 마찬가지로 이러한 값은 연결을 거절하게 됩니다. - 루트 인증서 업데이트: Node.js 바이너리에 루트 인증서를 5개 추가하고 30개 제거했습니다.
Commits
- [
ac21bdc149
] - crypto: update root certificates (Ben Noordhuis) #19322 - [
3c99e41427
] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836 - [
d775057090
] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
982012b96d
] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389 - [
1aa83f7707
] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #19638 - [
05de6f4af7
] - deps: upgrade openssl sources to 1.0.2o (Shigeki Ohtsu) #19638 - [
ed64cc2be7
] - deps: reject interior blanks in Content-Length (Ben Noordhuis) nodejs-private/http-parser-private#1 - [
d786d21f92
] - deps: upgrade http-parser to v2.8.0 (Ben Noordhuis) nodejs-private/http-parser-private#1 - [
4947b0e26e
] - inspector: minor adjustments (Eugene Ostroukhov) - [
e3950d1a40
] - inspector: check Host header (Ali Ijaz Sheikh) - [
ef32e06a6e
] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
1dba2f4950
] - src: drop CNNIC+StartCom certificate whitelisting (Ben Noordhuis) #19322 - [
bdfeb1c739
] - tools: update certdata.txt (Ben Noordhuis) #19322
Windows 32-bit Installer: https://nodejs.org/dist/v6.14.0/node-v6.14.0-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v6.14.0/node-v6.14.0-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v6.14.0/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v6.14.0/win-x64/node.exe
macOS 64-bit Installer: https://nodejs.org/dist/v6.14.0/node-v6.14.0.pkg
macOS 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-darwin-x64.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-x86.tar.xz
Linux 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-ppc64le.tar.xz
Linux PPC BE 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-ppc64.tar.xz
Linux s390x 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-s390x.tar.xz
AIX 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-aix-ppc64.tar.gz
SmartOS 32-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-sunos-x86.tar.xz
SmartOS 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-sunos-x64.tar.xz
ARMv6 32-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-armv6l.tar.xz
ARMv7 32-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v6.14.0/node-v6.14.0-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v6.14.0/node-v6.14.0.tar.gz
Other release files: https://nodejs.org/dist/v6.14.0/
Documentation: https://nodejs.org/docs/v6.14.0/api/
SHASUMS
1 | -----BEGIN PGP SIGNED MESSAGE----- |