2016-10-18

Node v4.6.1(LTS)

작성자: Rod Vagg
원문: Node v4.6.1 (LTS)
번역: Outsider

보안 릴리스 입니다. 모든 Node.js 사용자는
https://nodejs.github.io/nodejs-ko/articles/2016/10/15/vulnerability-october-2016-security-releases/에
올라온 보안 릴리스 요약에서 수정된 취약점의 자세한 내용을 참고해야 합니다.

주요 변경사항

c-ares: 단일바이트 버퍼가 덮어써 지는 문제 수정, CVE-2016-5180, 자세한 내용은
https://c-ares.haxx.se/adv_20160929.html를 참고하세요. (Daniel Stenberg)

Commits

[f3c63e7ccf] - deps: avoid single-byte buffer overwrite (Daniel Stenberg) #8849
[5a0daa6c2f] - win,build: try multiple timeservers when signing (Rod Vagg) #9155

Windows 32-bit Installer: https://nodejs.org/dist/v4.6.1/node-v4.6.1-x86.msi

Windows 64-bit Installer: https://nodejs.org/dist/v4.6.1/node-v4.6.1-x64.msi

Windows 32-bit Binary: https://nodejs.org/dist/v4.6.1/win-x86/node.exe

Windows 64-bit Binary: https://nodejs.org/dist/v4.6.1/win-x64/node.exe

macOS 64-bit Installer: https://nodejs.org/dist/v4.6.1/node-v4.6.1.pkg

macOS 64-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-darwin-x64.tar.gz

Linux 32-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-x86.tar.xz

Linux 64-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-x64.tar.xz

Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-ppc64le.tar.xz

SunOS 32-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-sunos-x86.tar.xz

SunOS 64-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-sunos-x64.tar.xz

ARMv6 32-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-armv6l.tar.xz

ARMv7 32-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-armv7l.tar.xz

ARMv8 64-bit Binary: https://nodejs.org/dist/v4.6.1/node-v4.6.1-linux-arm64.tar.xz

Source Code: https://nodejs.org/dist/v4.6.1/node-v4.6.1.tar.gz

Other release files: https://nodejs.org/dist/v4.6.1/

Documentation: https://nodejs.org/docs/v4.6.1/api/

SHASUMS

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

e5929de3a963f9a75c5923c9c222cde401e03c4b4991ec9281bf81f878f482ff  node-v4.6.1-darwin-x64.tar.gz
18252a9261477296975317c11ee5d21c3847df0f6e4b25e210373fd839a77984  node-v4.6.1-darwin-x64.tar.xz
58ce23125a049f0098693f8c48c431d54906586007c1a8b899add656a4e5a2fe  node-v4.6.1-headers.tar.gz
7d0e7ad37175695b35c6f6761dbc5f0e3beb777f8ad5943563100efed1c0b43d  node-v4.6.1-headers.tar.xz
439a4261c13644dee42d8f5ff6a6fc7974a5c5bb169f6c79cc5852b50298a1c4  node-v4.6.1-linux-arm64.tar.gz
a8952908de2933f6702ac85e2f12ea0443ac7459176624546565ea74d2492560  node-v4.6.1-linux-arm64.tar.xz
a66310bd045260f3c1d55bbafe7bbd6477004882f8b7ef63da0b79ed3d2b9ec4  node-v4.6.1-linux-armv6l.tar.gz
8883c105c0e192ba41d882ac459a5f025a205f7d5799369f2f54c71ce84fb1f2  node-v4.6.1-linux-armv6l.tar.xz
b6883d8d3daf121c6fffcd8546747105ca46ae8b1214d2fb6f3640a8aef0879c  node-v4.6.1-linux-armv7l.tar.gz
3cd0d522ddcedd22110b0cd698c5babc3b11b3be378e79570010f6708ee9714f  node-v4.6.1-linux-armv7l.tar.xz
1c66dd602d5ac022560eb7f2cb8c1be63d7a0d9e32f8f67c0bd7d84fce7179e5  node-v4.6.1-linux-ppc64le.tar.gz
ed99067c35d478d5667789298cbd0a645c88f9be291091ae9d868ccc12e8e833  node-v4.6.1-linux-ppc64le.tar.xz
297a458edf5f0f274e8bba96dcb8cb975e47a802401087a17ba20f550fa85785  node-v4.6.1-linux-ppc64.tar.gz
84e0e9d8930cc6a6c8f519a802ad7a28f33298d71ba59e8f8a5eead5233c0030  node-v4.6.1-linux-ppc64.tar.xz
033243d4ddffd67856c9ccfb512b0d1980e8d1373554bc328472b21bc5de7675  node-v4.6.1-linux-x64.tar.gz
cafa6e4bc66e3b8047f927c6cd3549398b9c11a94c73c9d0b9fc330e85e9697b  node-v4.6.1-linux-x64.tar.xz
16e0216d35ed1f81ac9a40081fa6f9b28e63dcbb38b316956dc1badd8b4bcfa7  node-v4.6.1-linux-x86.tar.gz
ddbfd6729538da959c4444181b1860dd6bfbee927c5f0c3b9007881006f19f58  node-v4.6.1-linux-x86.tar.xz
ccf029983486ba15394bd7cf4dd23b19cd371ec58f58d60897e72d156556e8c2  node-v4.6.1.pkg
892b86782c240b1886b4b655ca266425164e928b18c75e3d3f6960172a34cedf  node-v4.6.1-sunos-x64.tar.gz
1a0d8ae76ef9c03c24bf8a46abe8e1c334be97ccec4a7b4e40ed6e00003db899  node-v4.6.1-sunos-x64.tar.xz
f87490f0764b6c0a88e3e90e2ee14eb8b67dad0245a7b20fcc4e5fe1e75d3ec9  node-v4.6.1-sunos-x86.tar.gz
3047a3ee63e8bd3fd2275daf2e9bb9be028009394751fb96b0c79f74c3cedb9c  node-v4.6.1-sunos-x86.tar.xz
b8ca4db42c5a1fed95baf6996ff776db3c95ad2bcf73c7aed2f1f921a1225de3  node-v4.6.1.tar.gz
fe2a85df8758001878abb5bbaf17a6b6cdc12b3e465b1d3bace83b37fdf0345a  node-v4.6.1.tar.xz
8a9739e505244f382d8a045464cff1c92a10977351138e7972bd3349bb4e9106  node-v4.6.1-win-x64.7z
f576f2dacc4262202ae21f7d64ab9a01b7e551795848dfa39ef39a2cd63fa42c  node-v4.6.1-win-x64.zip
9633d956e36d8196f811ff4e685261910d942b2ceaa46aa296bbbbd5fa8b2b09  node-v4.6.1-win-x86.7z
80ecda252f5d7026a73bca964369e4eff4cac7ae2c8c96728ca10ef63f8564a5  node-v4.6.1-win-x86.zip
3718c9b018751d16ac311208c1d0d8091089ce431ea32f285ddaf54884091061  node-v4.6.1-x64.msi
b75124cb64ec423142f8c27e061854848ad99bf7bb896c8072ecebb5c91f6900  node-v4.6.1-x86.msi
04e33f33ba34a3426f4f11517f6b390697af7b5635eca97ff379204fdc978635  win-x64/node.exe
8dcb77384bcdf1cb7caa9fa1a146fd89318ec484b597918350a8603e911ddb75  win-x64/node.lib
ca0431734a0f0aca4ec78ea7c97969da9d13803212a5902af64304c6f1fb99dc  win-x64/node_pdb.7z
75c3133ecc9671113057727c1bd91af489a37ed207821acc731e27389d91cd94  win-x64/node_pdb.zip
965d55bdb6e8abc4053cccf87fbb524d4e2c416eba8892705eac60acf73262e2  win-x86/node.exe
228584a3a6e4b0e50d5e56fd4d795f499df8e08b4a33f316ccf528baf49f7302  win-x86/node.lib
25e0f6f56b34b5af71d79ae88858d6f69e9c3ffb11d7db748f5a585c4777ca8d  win-x86/node_pdb.7z
1ebdf49696992aa4961a8420f6e9e629f33928043ef497a03505df635ebfdc1c  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBCAAGBQJYBlXZAAoJEMJzeS99g1RdmnUH/0B7JWzkfXRn0zNOMJ8dl/rC
lyxkDkQbZ7q8zQjoJaY6/53De5h2eWI1XklDjOxXjgEIwUxm6d02LjMiCu2dJTe2
dKQKr3Ip4Zjdon05mUq7/wZD98nXzPVp4uuEipM/6qRPlZeARam5LGAK1QVremYt
gagd8oN5riQ0HCJl2RIcFc/k0vZkKZykjM/LOacEKEmH2XAmBOtZ/0njYspK9X+y
QmFKpq0haCvhY7TENbHPMyT5snwI3W+xg4asNKoobX3rgDCBOumEXrUx0y5Ovef0
05MY/Mq1YSldypzZVULCyLYfP4R/dnN3ePRPYltYPvgW8uta7G9NTtfC0olkHxw=
=2XqL
-----END PGP SIGNATURE-----

2016-10-18

articles

Node v6.9.0(LTS)

작성자: Rod Vagg
원문: Node v6.9.0 (LTS)
번역: Outsider

보안 릴리스입니다. 모든 Node.js 사용자는 https://nodejs.github.io/nodejs-ko/articles/2016/10/15/vulnerability-october-2016-security-releases/에 올라온 보안 릴리스 요약에서 수정된 취약점의 자세한 내용을 참고해야 합니다.

새로운 LTS 릴리스

v6.9.0부터 Node.js v6가 장기 지원(LTS)으로 전환되었고 코드 네임은 **“Boron”**입니다.
v6 릴리스는 "활성 LTS"로 바뀌었고 2018년 4월까지 유지될 것입니다. 2018년 4월 이후 에는
"유지보수 버전"으로 바뀌고 2019년 4월에 지원이 종료됩니다.

LTS 마이그레이션

Node.js v4 LTS "Argon"에서 Node.js v6 LTS "Boron"으로 바꿀 때 알아두어야 할 내용입니다.

보안 문제와 안전 때문에 Buffer() 생성자를 문서에서 폐기예정으로 표시하였고 새로운
Buffer.from(), Buffer.alloc(), Buffer.allocUnsafe()를 사용하면 됩니다.
자세한 내용은 Buffer 문서를 참고하세요.
문서에서만 폐기 예정으로 표시한 것이므로 표준 오류에 어떠한 경고도 출력하지 않습니다.
이는 긴 폐기 주기의 첫 단계입니다.
Windows Vista와 그 이전 버전 macOS 10.7과 그 이전 버전은 지원하지 않습니다.
많은 경고 메시지와 오류 메시지를 정리해서 더 일관성 있게 만들었습니다.
V8 --prof 커맨드 라인 인자를 사용해서 생성한 출력 파일을 처리할 때
--prof-process
커맨드 라인 인자를 사용할 수 있습니다.
EventEmitter에서 현재 리스닝하고 있는 모든 이벤트의 목록을 볼 때 새로운
EventEmitter#eventNames()
메서드를 사용할 수 있습니다.
fs.mkdtemp()로
운영체제의 기능을 사용해서 유일한 임시 디렉터리를 빠르고 안전하게 만들 수 있습니다.
process.cpuUsage()로
현재 프로세스가 사용하고 있는 CPU 리소스에 대한 정보를 볼 수 있습니다.
이제 아주 큰 배열을 util.inspect()에 인자로 전달할 때 일부를 제거합니다.
이는 console.log() 계열에도 적용됩니다.
네이티브 Promise가 reject 상태에 빠졌는데 이를 받는 핸들러가 없을 때
표준 에러로 경고를 출력할 것입니다.
--inspector 커맨드 라인 인자로 새로운 실험적인 디버깅 프로토콜을 활성화할 수 있습니다.
이는 “v8_inspector” 프로토콜을사용해서 Chrome DevTools, Visual Studio Code 등에서
직접 사용할 수 있습니다.

v5.0.0와
v6.0.0에서
API 호환성이 깨지는 변화가 있었지만 비교적 사소한 변경이고 대부분에 사용자에게는 큰 영향을 주지 않습니다.

Node.js 변경사항과 더불어 Node.js v4 LTS와 이번 v6 LTS 릴리스 사이에
여러 번의 V8 업그레이드가 있었으므로 다음과 같은 JavaScript 언어 향상도 있었습니다.

이제 Node.js v4 LTS "Argon"에서 Node.js v6 "Boron"로 마이그레이션을 계획해야 할 때입니다.
Argon은 2017년 4월까지 _활성 LTS_로 관리되고 2018년 4월까지 _유지보수_단계로 바뀐 뒤 지원이
중단될 것입니다. 자세한 내용은 https://github.com/nodejs/LTS에 올라온
Node.js LTS 계획에서 볼 수 있습니다.

Node.js에 도움을 주고 싶다면 https://github.com/nodejs/help에 이슈를 올려주세요.
Node.js에 버그를 보고하고 싶다면 https://github.com/nodejs/node에 이슈를 올려주세요.

Node.js v6.9.0 LTS “Boron”

주요 변경사항

crypto: OPENSSL_CONF 환경변수나 플랫폼의 기본 경로에서 OpenSSL 설정 파일을 자동으로
로드하려고 하지 마세요. 설정 파일을 로드하는 것은 항상 공격자가 기본 경로에 파일을 둘 수 있다면
Node.js 프로세스에 조작된 OpenSSL 설정을 로드하게 할 수 있습니다.
(Fedor Indutny, Rod Vagg)
node: process.release.lts 프로퍼티가 'Boron'로 설정했습니다. 이 값은 v4 LTS
릴리스에서는 "Argon"이고 그 외 릴리스에서는 undefined입니다. (Rod Vagg)
V8: Backport fix for CVE-2016-5172, 임의 메모리 읽기에 대한 수정사항을 백포트했습니다.
범위를 잘못 다룬 V8 파서가 잠재적으로 공격자가 잘 만든 JavaScript 코드로 임의의 메모리 위치에서
민감한 정보를 가져갈 수도 있습니다. 이 취약점은 공격자가 Node.js 프로세스에서 임의의
JavaScript 코드를 실행할 수 있어야 합니다. (Rod Vagg)
v8_inspector: 인스펙터 실행마다 UUID를 생성합니다. 이는 --inspect로 실행했을 때
인증되지 않은 클라이언트가 v8_inspector 포트로 Node.js 프로세스에 연결하는 것을 차단해서
추가로 보안을 강화합니다. 디버깅 프로토콜에서는 실행 중인 프로세스 내부에 더 많은 접근을 허용하고
임의의 코드를 실행할 수 있으므로 인증된 도구로만 접근을 제한하는 것이 중요합니다. Node.js에서
v8_inspector 프로토콜은 아직 실험적인 기능입니다.
이 취약점은 Jann Horn가 최초로 보고했습니다. (Eugene Ostroukhov)

Commits

[99e4eee8ef] - build: do not define ZLIB_CONST (Bradley T. Hughes) #9122
[cae9eb35f0] - crypto: fix openssl.cnf FIPS handling & testing (Rod Vagg) nodejs/node-private#82
[c947d448da] - deps: cherry-pick 0e14baf712 from V8 upstream (Rod Vagg) nodejs/node-private#80
[647afe9d9a] - inspector: generate UUID for debug targets (Eugene Ostroukhov) nodejs/node-private#79
[1ea0358a91] - node: --openssl-config cli argument (Fedor Indutny) nodejs/node-private#78
[455272ad33] - (SEMVER-MINOR) src: add process.release.lts property (Rod Vagg) #3212
[9ace073949] - win,build: try multiple timeservers when signing (Rod Vagg) #9155

SHASUMS

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

a5738a8061e5964d9851047355bab10c02046997adad0592d3e0c834c19c9599  node-v6.9.0-aix-ppc64.tar.gz
fd0f58487cd72d78e857bfc24061cfe77353e1571a17182b4e38273782648edf  node-v6.9.0-darwin-x64.tar.gz
fb512f229ea2b9d55a67ec3244a37b001a4f81c0ef449df2bf4fd823c06b8571  node-v6.9.0-darwin-x64.tar.xz
c2848e6ef6de3d771d3523ca8da2de6c949729476b3723cabf82836af4b723b8  node-v6.9.0-headers.tar.gz
1f8ebe4f1bc35b4e0399c05c208e79b497f84a18de5b46b10348948e9d3241d3  node-v6.9.0-headers.tar.xz
e9ff08e622436007594dcbff1b528023aaa2397c38fdc961d130730b90fdc814  node-v6.9.0-linux-arm64.tar.gz
b118ce433fa64868a46b5bf482e5c5c698df435ea40b1ec8429b7aae828b583e  node-v6.9.0-linux-arm64.tar.xz
ce870c8839ce5d46a36d11ae882e59cff6e361c46714428da3464504a3f0769a  node-v6.9.0-linux-armv6l.tar.gz
b1db436ec7ab97b2c3cf7b495b1ac57191afd1a71dc3d939a535c7cbbbf329d0  node-v6.9.0-linux-armv6l.tar.xz
97aaf1dba42c7544f8a2ad1e34e0f032d7645227e60928b9b522e257bd219256  node-v6.9.0-linux-armv7l.tar.gz
5fedf1319d4946fda7a20f8452f5ded4fb9707ce1661710e69616884e830f96c  node-v6.9.0-linux-armv7l.tar.xz
325b89f57374627d19de246dd1148699ea88b02139cecbdbe218b519fc8a328c  node-v6.9.0-linux-ppc64le.tar.gz
5fe38d010a3bfb179c2e3394937e7eb64b0a3076aff26d776fa1c5d67d9672b9  node-v6.9.0-linux-ppc64le.tar.xz
bf21e314c2bcf0ea379d2a6b2c017b0446ad8fb822dbc3c2fc04d594b727b23a  node-v6.9.0-linux-ppc64.tar.gz
44c3c0f3cb84216ef73d47acf886ca2aed2765640b76bbabf9a4fd8dba4961c1  node-v6.9.0-linux-ppc64.tar.xz
4aa6e76334e3bba1919c65a2a0dcabd28c48a282402b2f523807f31a588896e8  node-v6.9.0-linux-s390x.tar.gz
a2069e6d13c8ed1ffd80eaf039689abf82b300463125f1753e5467ecdef1ab6d  node-v6.9.0-linux-s390x.tar.xz
a9aafa2499097b315e1554b882923a6e2f9c446d24eaea53630f0fdbe075b226  node-v6.9.0-linux-x64.tar.gz
1fec8901f9158061eeeba407103c73f627d03c856cdaeb995c274d200c004a6f  node-v6.9.0-linux-x64.tar.xz
5520dc47e11b377064ce99a60e640dfdf9abc29916bcd110307474463af9efb1  node-v6.9.0-linux-x86.tar.gz
b15ed03aa7d113b6803e7e7ec7adebd310d08e6c6c807d9a2776da7421d502e6  node-v6.9.0-linux-x86.tar.xz
c91da719ec4db0f4397f93dbf604d4d77f3424e7ac5778ca120f61d5dd0bac9e  node-v6.9.0.pkg
e623e9bd2dd3554fdb9ec53ca3fe6e0d1a3715c05766bfc9a002d3289adbbe39  node-v6.9.0-sunos-x64.tar.gz
b748b5c427acbe1e8ac0a7a2a0af88d11120fe9019509841664ce7af2111a46b  node-v6.9.0-sunos-x64.tar.xz
2e48eb1506f54549df5e7c5727cd5c171aaf838f22caa848aeb2a3011db7f171  node-v6.9.0-sunos-x86.tar.gz
148f45f8e6ccf13e477d4ad0fee91fd41fe10af1d32ff6fc48ed3271bff26e1f  node-v6.9.0-sunos-x86.tar.xz
2e2657d2ece89782ca9e2cc0300f9119998e73382caa7ad2995ab81cc26ad923  node-v6.9.0.tar.gz
656342ed8a84c95a36af902f309aeeca7103b16d61c02925bd37bd47d2194915  node-v6.9.0.tar.xz
cbf07f7e472a3e7a574aac2350b7cac42e53e71b80fe4f910b32de452ce36572  node-v6.9.0-win-x64.7z
7c1c970d957c855c37ad16843ee5eb0f5369fbc42b24a5cd3dce18597dda087d  node-v6.9.0-win-x64.zip
8547a1a8ec2cc73194f7c670fa250a1357b20d97e1d76f256964dc95d9af9008  node-v6.9.0-win-x86.7z
ce35aeea6832fec2c5237e8958953acad59fafe89424335d1d882fc23199203f  node-v6.9.0-win-x86.zip
c20bce1c2dd7b0b30ff86e6ac32b4a79357165f1a3613ef111a26a0f5c621895  node-v6.9.0-x64.msi
e73dba32de3166b5de6f15f8677b1a8f8d67fa0983e660408518a8b259a3151b  node-v6.9.0-x86.msi
9ac737d4329515114d000766bd1e7ab8803a62ad9cddcf3629b1fc65b785cc7c  win-x64/node.exe
24fed33afb5c91284aea7d1c446687bae152ab915d4394af0752c32d75649ed2  win-x64/node.lib
892723c55b31b75e87356db0915e8bb09e449d7f8c062b64ea7d21c7f9283c26  win-x64/node_pdb.7z
740bb0435e8f6ca410ea3cad0f7e52e3dc788b870d3e05580159c81b600b0cd9  win-x64/node_pdb.zip
70dfa76f7e8b59e401002cae7d23565e9fde20ede65d47a900077608d5f3b347  win-x86/node.exe
1e2b080e083684e4d1ddf2a0bdf7415006e0c5bf1bae82cc35383c8642196735  win-x86/node.lib
c1da9b46e96bfacb267cb70932069eaf1c8ed4f1a6de7920bef2ccd7a73d7b3b  win-x86/node_pdb.7z
1b22b2f42b00af17ceacc0463120dec16a9d1582a537d0865e252a51dd8bef3e  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBCAAGBQJYBlkOAAoJEMJzeS99g1RdBq8IAME4kDcDjbbGbw2iviVXiEm1
IzBfYYHuxc3AUzxB9kEOkoYO++lR9Uo6pbhQTzYr2cTCQ46IhrAL+xSVX+Awhv2T
BSDwGTXCDAi5jTIQFNjJXfunSIdt9qGQKI/eLQ48Q00Cz9xvrFWgyZO97wwfUXCw
S3+y5fVDDgvUcrTybr3FWbIu6cjL6UQ8rW9E/clpa3KJehPjWBLkXoFmOrhL8e5/
yKvSJLID+z8PnDceFvwK8IdEQ/cZhh6XkbE2hZfM45QPyELrAhlHompv1yDFItqm
LOnBqVa0ZyoArPeQolTy/Gt8K0K44aC7fWzGnFWc0xcuso9c5RWgWR5iNNlzUpI=
=biwr
-----END PGP SIGNATURE-----

2016-10-15

articles

Node v6.8.1 (최신 버전)

작성자: Evan Lucas
원문: Node v6.8.1 (Current)
번역: Outsider

주요 변경사항

build: 공유된 zlib로 빌드할 때의 오류 수정. (Bradley T. Hughes) #9077
stream: stream.Writable의 하위 클래스가 instanceof로 확인되지 않는 회귀 수정. (Anna Henningsen) #9088
timers: immediate가 콜백에서 클리어 처리가 되는 경우 호출이 안 되는 회귀 수정. (Brian White) #9086

Commits

[8d2206fe41] - build: add -DZLIB_CONST when building with --shared-zlib (Bradley T. Hughes) #9077
[8c4fab0a28] - stream: fix Writable subclass instanceof checks (Anna Henningsen) #9088
[7171bd6311] - timers: fix regression with clearImmediate() (Brian White) #9086

Windows 32-bit Installer: https://nodejs.org/dist/v6.8.1/node-v6.8.1-x86.msi

Windows 64-bit Installer: https://nodejs.org/dist/v6.8.1/node-v6.8.1-x64.msi

Windows 32-bit Binary: https://nodejs.org/dist/v6.8.1/win-x86/node.exe

Windows 64-bit Binary: https://nodejs.org/dist/v6.8.1/win-x64/node.exe

macOS 64-bit Installer: https://nodejs.org/dist/v6.8.1/node-v6.8.1.pkg

macOS 64-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-darwin-x64.tar.gz

Linux 32-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-x86.tar.xz

Linux 64-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-x64.tar.xz

Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-ppc64le.tar.xz

SunOS 32-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-sunos-x86.tar.xz

SunOS 64-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-sunos-x64.tar.xz

ARMv6 32-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-armv6l.tar.xz

ARMv7 32-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-armv7l.tar.xz

ARMv8 64-bit Binary: https://nodejs.org/dist/v6.8.1/node-v6.8.1-linux-arm64.tar.xz

Source Code: https://nodejs.org/dist/v6.8.1/node-v6.8.1.tar.gz

Other release files: https://nodejs.org/dist/v6.8.1/

Documentation: https://nodejs.org/docs/v6.8.1/api/

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

fc42b85875c2ed593a22c4543f82f5ae4d737969c1915ac3d5f7a1fcf47a05a1  node-v6.8.1-aix-ppc64.tar.gz
36058e54c0e502c3e98f37f85533cf6148ea0232cf06cbebaee70a53719e60ca  node-v6.8.1-darwin-x64.tar.gz
0de6e5494e958abae485a89e56acfdd1c8be81f5f2c77d82fd9a90d05f226be4  node-v6.8.1-darwin-x64.tar.xz
63091ba93129536252820d0a6dc1e291d6bf602c1051a06979d45ae629265715  node-v6.8.1-headers.tar.gz
7e25a7ce6db3eda84998a41476c9cd684505839b12c79e3447d98ace81a4911b  node-v6.8.1-headers.tar.xz
d68acdedba79bb0cca9ccdb985323d18b6edbd85ee8cf896e02433c09cad1da9  node-v6.8.1-linux-arm64.tar.gz
813737086589af99cc46b35859418347dbbb8777b40fd841314d5cd44ff171d9  node-v6.8.1-linux-arm64.tar.xz
439c1018d65e224ae9b7a25bf546952c89c0d6faeddd2d932697a1bda6f6935d  node-v6.8.1-linux-armv6l.tar.gz
1424002e68f77ea4c6f2cd545e75652b97f5c2f00371df261f1d2da9f65fc5ce  node-v6.8.1-linux-armv6l.tar.xz
7afaab589165ba2e59476148010dd23d68cf67cd9f98d2522ce6e5c3430a5cc1  node-v6.8.1-linux-armv7l.tar.gz
4db9a34cde67a15680e1bfc1b80bace25475c79e554911ad62535d567b65125f  node-v6.8.1-linux-armv7l.tar.xz
7480f0b371187c3642c39ce058603b662e271823ff8fcb959fd349b580cb694b  node-v6.8.1-linux-ppc64le.tar.gz
952db6f02026b49d3a9210b4324432127e5e73038ac9f9c6dc97e7c304693454  node-v6.8.1-linux-ppc64le.tar.xz
f478521914ea5d46e0280ff5626ed2c9645acae529c4aa8a557de54353936255  node-v6.8.1-linux-ppc64.tar.gz
e0c3a1e2a500c9c4575f85a5f5f884fc765dcc3bc37913f52312d08f2799524f  node-v6.8.1-linux-ppc64.tar.xz
d6d9cd0a3164f687eaf148f37bd0a443fb5492964e5ef48bc61abafaa3fa8ac5  node-v6.8.1-linux-s390x.tar.gz
909f4992a2b5e82b3208aa51cac7289c865bca2f43ec041742ce24b3217b14dd  node-v6.8.1-linux-s390x.tar.xz
8d004e6990926508460495450a4083d40836e81710afca303d6a298e032c6b18  node-v6.8.1-linux-x64.tar.gz
ae027c59efa93823d4f8d0af296f4f0e2f54a168ca11a525f91cbbbd5f30e39e  node-v6.8.1-linux-x64.tar.xz
1247639f19a3e035bc1ec13bc546b0aea651b94836d0d814a5fe52f379c471e5  node-v6.8.1-linux-x86.tar.gz
0cbc3ace4d6fdf69f9d5db8a6f2f7f2e6fdb91e98889648af3381c2bca019479  node-v6.8.1-linux-x86.tar.xz
aa08c2fe5c97040f08935bc3e748a998d1a79205a943fecaf5abbc22726a4756  node-v6.8.1.pkg
49122d54d53ec38062fb6f66a724e28287b4bf6b67361e4020d936b28f207a59  node-v6.8.1-sunos-x64.tar.gz
3b110056957030755667cb5f71152f552cf8a88c46ddb68fdc8715370693f317  node-v6.8.1-sunos-x64.tar.xz
4b18bbaeb1f6cfc89545a5791681c40ca25f506d02170cc2d4e0d1fbbfe1da1c  node-v6.8.1-sunos-x86.tar.gz
9a0cbea79c249d19349aa9d1f0ce8ab99c88c1424118ce72d075882b22f95492  node-v6.8.1-sunos-x86.tar.xz
736f7651f59a78d5a0d88ab2430c93fc29a8efd1c06fd3fb4eb915b262bc2769  node-v6.8.1.tar.gz
a44ff48de369381c506661996dec568085d42998613ed2a23ebb37fddc12c99a  node-v6.8.1.tar.xz
99433a9e86c55dd3d8530e1e2f1a89e3c088ff62400e0cad90f362a236c945b0  node-v6.8.1-win-x64.7z
f0c13669e53682649e7e19008fae4215eff8f798924c98f25483699309bae707  node-v6.8.1-win-x64.zip
2dded7caa140a5b2a80dd98648183dfadf38f7a201a3bdf5fbe283b75a3c1331  node-v6.8.1-win-x86.7z
baacae312978ee54ee1303b9e9eebdadb1c851716890953edbe820c526953c33  node-v6.8.1-win-x86.zip
4600ed0e30a2497b6add2f53cdfccc727cf1cf9c5de6f90e89037085f489e5f4  node-v6.8.1-x64.msi
72b6bcbb0b33639d858a4fc925d2af9e0399ed59511ec7f7ad28ba08b8740866  node-v6.8.1-x86.msi
b30dee0c32a9ec7a282d55be3c8652075377adc88b7197f35f0e5aae003cae4f  win-x64/node.exe
b9038fcb8c5e75b7a6a570317baade24d32efe062defd47dd0bd63bb5438dd94  win-x64/node.lib
bfd6c8821cbe37a8343ba8da8f0b9bd66fb5bcd2ca364482c357918b2ef7a278  win-x64/node_pdb.7z
947d8c502ef60d0fc8070b3b364cff69c7d2b03c438979d721ca270f3b9b803b  win-x64/node_pdb.zip
ff1167133f9a9817248f00c48b07306888132dee2d0d12757e6206feca961cfd  win-x86/node.exe
e7d6eb9778991938228f300510dfe886fefc34590af4c45e5305fb760c049039  win-x86/node.lib
a8220b3d6b525b4104c09213999cdd445ce78d1195b5fdb924e3d42b9a4d4f78  win-x86/node_pdb.7z
7f661e5d555ef2cf177265141e7eb2252fe58e246edeecf99987b454057915b6  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org
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=6B+o
-----END PGP SIGNATURE-----

2016-10-15

articles

10월 보안 릴리스와 v6 "Boron" 보안 수정사항

작성자: Rod Vagg
원문: October security releases and v6 LTS "Boron" security inclusions
번역: Outsider

(2016년 10월 18일 수정) 릴리스 되었습니다.

Node.js의 모든 릴리스에 업데이트가 적용되었습니다.

다른 릴리스는 모두 CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제”
취약점이 수정되었습니다.

추가로 새로운 LTS인 Node.js v6 “Boron” 릴리스 라인을
*Node.js v6.9.0(LTS “Boron”)**부터
사용할 수 있습니다. 장기지원 과정에 따라 이번 릴리스에는 v6.x에만 적용되는 보안 문제도 수정되었습니다.

openssl.cnf의 자동 로딩 비활성화: OPENSSL_CONF 환경변수나 플랫폼의 기본 경로에서
OpenSSL 설정 파일을 자동으로 로드하려고 하지 마세요. 설정 파일을 로드하는 것은 항상 공격자가
기본 경로에 파일을 둘 수 있다면 Node.js 프로세스에 조작된 OpenSSL 설정을 로드하게 할 수 있습니다.
V8 임의 메모리 읽기 수정 (CVE-2016-5172):
범위를 잘못 다룬 V8 파서가 잠재적으로 공격자가 잘 만든 JavaScript 코드로 임의의 메모리 위치에서
민감한 정보를 가져갈 수도 있습니다. 이 취약점은 공격자가 Node.js 프로세스에서 임의의
JavaScript 코드를 실행할 수 있어야 합니다.
유일한 v8_inspector 웹 소켓 주소 생성: 인스펙터 실행마다 UUID를 생성합니다. 이는
--inspect로 실행했을 때 인증되지 않은 클라이언트가 v8_inspector 포트로 Node.js
프로세스에 연결하는 것을 차단해서 추가로 보안을 강화합니다. 디버깅 프로토콜에서는 실행 중인
프로세스 내부에 더 많은 접근을 허용하고 임의의 코드를 실행할 수 있으므로 인증된 도구로만 접근을
제한하는 것이 중요합니다. Node.js에서 v8_inspector 프로토콜은 아직 실험적인 기능입니다.
이 취약점은 Jann Horn이 최초로 보고했습니다.

이번 취약점은 모두 Node.js 사용자에게는 심각도가 낮지만 Node.js v6.x 사용자는
최대한 빨리 업그레이드해야 합니다.

아랫부분부터 원래의 글입니다.

Node.js v6 LTS 보안 수정사항

다음 주 18일 화요일에(UTC 기준 저녁 늦게) Node.js 재단은 v6.x 릴리스의 연장선인 두 번째
LTS 릴리스 라인을 발표할 것입니다. 이 릴리스 라인의 코드 네임은 "Boron"이고
첫 버전은 v6.9.0이 될 것입니다.

process.release.lts 프로퍼티가 'Boron'으로 설정되어 있습니다. v6.x 릴리스에만 적용되는
심각도가 낮은 세 가지 보안 패치도 포함되어 있습니다.

이 보안 취약점들은 심각도가 낮고 Node.js 의존성에서 발생했습니다.

V8
FIPS 호환 모드에서 빌드된
Node.js의 OpenSSL (공식 빌드가 아닙니다.)
v8_inspector, 실험적인 새 디버깅 프로토콜

이 수정사항은 이번 달 후반에 발표될 새로운 v7.x 현재 버전(LTS 아님) 릴리스에도 포함되어 있습니다.

Node.js v6은 영향받습니다.
Node.js v4(LTS “Argon”)는 영향받지 않습니다.
Node.js v0.12(유지보수 버전)는 영향받지 않습니다.
Node.js v0.10(유지보수 버전)은 영향받지 않습니다.

CVE-2016-5180 “ares_create_query 버퍼 쓰기에서 한 바이트가 벗어나는 문제”

모든 Node.js 버전에 포함된
c-ares 라이브러리에서 발견된
보안 취약점입니다. 이 보안 취약점을 이용하기가 어려우므로 현재 Node.js 사용자에게 영향을 주는
보안 심각도는 낮은 것으로 간주하였습니다.

Node.js v6에는 이미 수정되었고 18일 화요일에 배포할 버전에도 수정내용이 포함될 것입니다.

Node.js v6은 영향 받지 않습니다.
Node.js v4(LTS “Argon”)는 영향받습니다.
Node.js v0.12(유지보수 버전)는 영향받습니다.
Node.js v0.10(유지보수 버전)은 영향받습니다.

이번 릴리스를 갑자기 알리게 되어 죄송합니다.

2016-10-12

articles

Node v6.8.0(현재 버전)

작성자: Jeremiah Senkpiel
원문: Node v6.8.0 (Current)
번역: freenice12

주요 변경사항

fs:
- SyncWriteStream은 Stream.Writable을 상속합니다. (Anna Henningsen) #8830
  stdio가 파일과 연결되어 있을 때, stdout과 stderr는 계속 Writable이 될 것입니다.
- fs.existsSync()의 폐지 예정이 철회되었습니다. fs.exists()는 여전히 폐지 예정입니다. (Dan Fabulich) #8364
http: http.request()에서 timeout 옵션을 사용할 수 있습니다. (Rene Weber) #8101
module: 모듈 로더는 자신의 실제 경로 캐시를 유지합니다. (Anna Henningsen) #8100
npm: 3.10.8로 업그레이드했습니다. (Kat Marchán) #8706
stream: Duplex는 instanceof Stream.Writable을 정확하게 보여줍니다. (Anna Henningsen) #8834
timers: setTimeout/Interval 성능이 약 22% 향상 되었습니다. (Brian White) #8661

Commits

[1a6e8983a6] - benchmark: add benchmarks for Buffer.from() (Anna Henningsen) #8738
[882f8b3d6c] - benchmark: use ‘yes’ instead of echo in a loop (Bartosz Sosnowski) #8721
[999f727bb5] - benchmark: add benchmark for destructuring object (Fangdun Cai (Fundon)) #8680
[5c10898e31] - buffer: fix check for .buffer property (Ojas Shirekar) #8739
[b9c2270502] - buffer: fix performance regression (Michaël Zasso) #8754
[3fcdf4e80a] - buffer: remove unnecessary argument check (Michaël Zasso) #8552
[ee319b739c] - buffer: add isSharedArrayBuffer checks (Ojas Shirekar) #8510
[38fdbcd7f7] - build: make addons build dep. on node_version.h (Anna Henningsen) #8861
[f057d193ec] - build: run cctests as part of test-ci target (Ben Noordhuis) #8034
[a202be6690] - build: don’t build icu with -fno-rtti (Ben Noordhuis) #8886
[296254f141] - build: remove VS 2013 switch from vcbuild.bat (Ben Noordhuis) #8067
[a425c4da98] - build: run npm install for doc builds in tarball (Anna Henningsen) #8413
[3d3bce6ca1] - cluster: remove unused backlog argument (Brian White) #8877
[23a851dfe6] - deps: avoid single-byte buffer overwrite in ares_create_query (Daniel Stenberg) #8849
[46af58898c] - deps: make gtest output tap (Ben Noordhuis) #8034
[9d41e8913f] - deps: bump V8 patch to 84 (Myles Borins) #8851
[4d41bd9c68] - deps: hotfix upgrade npm tap version for tests (Kat Marchán) #8706
[9ecfc32fde] - deps: upgrade npm to 3.10.8 (Kat Marchán) #8706
[c4d9b54f75] - dgram: use Buffer.alloc(0) for zero-size buffers (Сковорода Никита Андреевич) #8751
[e1a774d314] - dns: remove internal variable from makeAsync (yorkie) #8800
[787558935c] - dns: tweak regex for IPv6 addresses (Luigi Pinca) #8665
[4e8c03707a] - dns: handle array holes in setServers() (cjihrig) #8567
[5e6be7b4c2] - doc: fix typo in email address in README (Rich Trott) #8941
[72ed6aa205] - doc: make node(1) more consistent with tradition (Alex Jordan) #8902
[2fad4d29b0] - doc: add example for file existence with fs.stat (Christopn Noelke) #8585
[0bdc363205] - doc: add added: information for globals (Luigi Pinca) #8901
[bc2dd3e467] - doc: change ./node to node in debugger.md (AnnaMag) #8943
[b212b9b44b] - doc: add CTC meeting minutes 2016-09-07 (Josh Gavant) #8499
[c31a3178e8] - doc: fixup link in fs.md (ss22ever) #8940
[e7039cdbb8] - doc: fix markdown formatting in url.md (Bryan Bess) #8933
[ff9a84d324] - doc: update punctuation in README.md (Abner Chou) #8892
[c36c8dc3cc] - doc: add documentation for test common module (Paul Grock) #8840
[a604a82186] - doc: recommend using port 0 instead of common.PORT (Niklas Ingholt) #8694
[77fc5caceb] - doc: add CTC meeting minutes 2016-09-14 (Josh Gavant) #8726
[505b88d3c3] - doc: add CTC meeting minutes 2016-09-21 (Josh Gavant) #8727
[3e8c8f90bc] - doc: fix typo in repl doc (Franziska Hinkelmann) #8826
[a00ae75805] - doc: improve documentation for commit subject line (Luigi Pinca) #8546
[aaebbf9708] - doc: encourage 2FA before onboarding (Rich Trott) #8776
[f07054dd49] - doc: add optional step to onboarding doc (Rich Trott) #8774
[dceaa0ba4a] - doc: remove failing workaround in BUILDING.md (Christopher Fujino) #8763
[0522aa0dc0] - doc: add commit formats for release blog posts (fen) #8631
[98e425eed4] - doc: fix title level at tls.md (yorkie) #8782
[e7c0f34f20] - doc: add added: info for crypto.timingSafeEqual() (Marc-Aurèle DARCHE) #8796
[4fb051426c] - doc: enable no-file-name-articles remark-lint rule (Сковорода Никита Андреевич) #8713
[4699e3022b] - doc: enable first-heading-level remark-lint rule (Сковорода Никита Андреевич) #8716
[3aec6a68bf] - doc: improve child_process doc types (yorkie) #8741
[6fab334a73] - doc: fix example in stream doc (Luigi Pinca) #8378
[f13089b834] - doc: update BUILDING.md (rainabba) #8704
[5c014bb532] - doc: standardize on make -j8 (Rich Trott) #8678
[98ca442cae] - doc: add CTC meeting minutes 2016-08-24 (Josh Gavant) #8423
[28264f8da4] - doc: add eugeneo to collaborators (Eugene Ostroukhov) #8696
[85ee89edd6] - doc: add ak239 to collaborators (Aleksey Kozyatinskiy) #8676
[5dd6229aeb] - doc: clarify fs.utimes() arguments (Danny Guo) #8651
[42386d7229] - doc: add link to help repo in README (Rich Trott) #8570
[2f6101ed10] - doc: fix broken link in timers doc (Ltrlg) #8562
[e16f95db4d] - doc: update exercise portion of onboarding doc (Rich Trott) #8559
[a91050c57b] - doc: fix typo in path doc (Kalman Hazins) #8527
[64b79eba42] - doc: remove extra comma in cluster docs (Teddy Katz) #8557
[2d23227060] - doc: fix a formatting error in buffer.md (Сковорода Никита Андреевич) #8553
[eebecef9a4] - doc: link onboarding to contributing guide (Rich Trott) #8529
[8a1f74338c] - doc: remove duplicate content from readline doc (Italo A. Casas) #8497
[71dd4c193a] - doc: capitalize arguments’ type names in url doc (yorkie) #8489
[8e28e03fb9] - doc: add gibfahn to collaborators (Gibson Fahnestock) #8533
[c96618f241] - doc: add imyller to collaborators (Ilkka Myller) #8530
[929d9bb222] - doc: standardize rest parameters (Timothy Gu) #8485
[125df45b80] - doc: add not-an-aardvark to collaborators (not-an-aardvark) #8525
[3eb93e1fe8] - doc: add example for running with v8-inspector (Franziska Hinkelmann) #8845
[d6dcbc212b] - doc,tool: add tls.TLSSocket to typeMap (yorkie) #8742
[d69570d5fc] - doc,tool: add ref to Integer (yorkie) #8740
[688abac7b2] - (SEMVER-MINOR) fs: make SyncWriteStream inherit from Writable (Anna Henningsen) #8830
[07d97f4f3e] - fs: fix handling of uv_stat_t fields (Anna Henningsen) #8515
[14e2d67776] - (SEMVER-MINOR) fs,doc: undeprecate existsSync (Dan Fabulich) #8364
[980c1edf63] - (SEMVER-MINOR) fs,module: add module-loader-only realpath cache (Anna Henningsen) #8100
[ee7af01b93] - (SEMVER-MINOR) http: socket connection timeout for http request (Rene Weber) #8101
[7a59449478] - https: fix memory leak with https.request() (Ilkka Myller) #8647
[573d8bcee4] - inspector: fix minor issues (Brian White) #8890
[f4f9cf779f] - inspector: build file cleanup (Eugene Ostroukhov) #8753
[e80ae1350c] - inspector: address race conditions (Eugene Ostroukhov) #8672
[f817875235] - inspector: wait for both sides closing (Eugene Ostroukhov) #8505
[4ed46b47a1] - inspector: report default context (Eugene Ostroukhov) #8502
[b05ce842ce] - inspector: zero out structure members (Eugene Ostroukhov) #8536
[0b90ff7a8d] - inspector: introduce a smoke test (Eugene Ostroukhov) #8429
[3222b66abe] - inspector: fix tests on Windows (Eugene Ostroukhov) #8528
[a1925a7955] - lib: minor improvements to bootstrap_node.js (Rémy MEJA) #8906
[313a45da24] - lib: changed var to const in linkedlist (Adri Van Houdt) #8609
[6cd5588a67] - lib: fix TypeError in v8-polyfill (Wyatt Preul) #8863
[ba361a2aa0] - lib: remove let from for loops (Myles Borins) #8873
[beb288b639] - lib: changed var to const in internal/v8_polyfill (Adri Van Houdt) #8615
[858a7bbacf] - lib: changed var to const in bootstrap_node.js (Adri Van Houdt) #8588
[31232adebb] - module: fix comment from “read-only” to “shallow” (Bryan English) #8887
[0eaf3ff53c] - path: fallback to process cwd when resolving drive cwd (Jason Ginchereau) #8541
[d72a7b3d0c] - path: fix path.relative UNC path result (Jason Ginchereau) #8523
[e0c10f63b0] - process: changed var to const in internal/process.js (Adri Van Houdt) #8614
[37ce6da59a] - process: changed var to const in internal/v8_prof_processor (Adri Van Houdt) #8619
[e8f1cf1bd8] - process: changed var to const in internal/process/promises (Adri Van Houdt) #8620
[4c194ee7bd] - readline: fix concievably typo in readline.js (Miguel Angel Asencio Hurtado) #8953
[8c91a9b848] - repl: improve .help message (Roman Reiss) #8519
[443bedeb68] - src: remove out-of-date TODO comment (Daniel Bevenius) #9000
[59aa103df2] - src: fix typo in #endif comment (Juan Andres Andrango) #8989
[8a2ba6fe83] - src: fix build for older clang (Zach Bjornson) #7645
[d8df78c573] - src: remove unused function declaration (Brian White) #8878
[a6b9ffbf5b] - src: refactor reading of options in contextify (Franziska Hinkelmann) #8850
[324c8b5f7e] - src: fixes misplaced comment (Madhav Gharmalkar) #8860
[86b9db601d] - src: add missing length argument to send comment (Daniel Bevenius) #8816
[aa11205f71] - src: rename CHECK_NOT_OOB() macro (Ben Noordhuis) #8784
[8be818eb07] - src: fix minor typo in comments (Daniel Bevenius) #8736
[41ad6e3965] - src: rename handle__ to handle_ in HandleWrap (Daniel Bevenius) #8712
[9205edc35c] - src: don’t abort when c-ares initialization fails (Ben Noordhuis) #8710
[6ddfe89fdf] - src: remove VS 2013 compatibility hacks (Ben Noordhuis) #8067
[a9491f1604] - src: make ReqWrap req_ member private (Daniel Bevenius) #8532
[5ebce30468] - src: remove unneeded ABORT after CHECK (yorkie) #8593
[2dbef79ca7] - src: handle thrown errors in CopyProperties() (cjihrig) #8649
[52f0f64e79] - src: use MaybeStackBuffer on DoSend/Writev (Paul Kiddie) #8626
[a62999ac70] - src: add /json/protocol endpoint to inspector (Ben Noordhuis) #7491
[4e7c67cf55] - (SEMVER-MINOR) stream: proper instanceof for Writables (Anna Henningsen) #8834
[56951b4367] - test: add coverage for spawnSync() killSignal (cjihrig) #8960
[05f74120e8] - test: refactor assert in internet test-dns.js (Junshu Okamoto) #8980
[1a4207d91d] - test: various test improvements (James M Snell) #8468
[c4f0bb237a] - test: expand test coverage for url.js (Junshu Okamoto) #8976
[4e9b6a0022] - test: fix test-child-process-fork-regr-gh-2847 (Santiago Gimeno) #8954
[b579fcab45] - test: remove FIXME pummel/test-tls-securepair-client (Alfred Cepeda) #8757
[9b0733fd49] - test: run faster and cleanup after run (Wyatt Preul) #8848
[df0211d95e] - test: refactor test-net-server-max-connections (Rich Trott) #8931
[147a06d4a5] - test: enable addons test to pass with debug build (Daniel Bevenius) #8836
[636026a22d] - test: remove blank lines at end of files (Rich Trott) #8920
[93c48743f1] - test: refactor test-file-write-stream (Sudaraka Wijesinghe) #8894
[516486526f] - test: cleanup/update test-dgram-empty-packet.js (Michael Macherey) #8896
[2f0f596e07] - test: fix child-process-uid-gid on Windows (Michaël Zasso) #8924
[52d0424c56] - test: mark test-tick-processor-unknown flaky (Rich Trott) #8900
[424c126742] - test: fix -Wformat warnings in inspector cctest (Ben Noordhuis) #8034
[76f80a3f74] - test: fix running child-process-uid-gid as root (Wyatt Preul) #8864
[11ba56c83d] - test: expand test coverage for url.js (Junshu Okamoto) #8859
[c9450cef1b] - test: clean up test-timers-immediate (Rich Trott) #8857
[17922de555] - test: add and assert readable/writable arguments (Daniel Bevenius) #8815
[bc710ef461] - test: cleanup/update test-os.js (Mike Woods) #8761
[fc42825530] - test: modernize syntax, add strict checks (Lydia Kats) #8841
[72de8594fe] - test: use common.skip for tap skip output (Lydia Kats) #8841
[4fa0fc59cd] - test: stream writable ended state (Italo A. Casas) #8778
[6dbda6aa86] - test: clean up test-buffer-badhex (Jeremiah Senkpiel) #7773
[af092f1fc0] - test: cleanup test-net-server-address.js (Akito Ito) #8586
[af84528d41] - test: replace indexOf, assert.equal, add mustCall() (Richard Hong) #8766
[2e95b0e24b] - test: fixed FIXME in test-repl-persistent-history (Alfred Cepeda) #8756
[76fd7db521] - test: update var to const, use arrow functions (Matt Lang) #8595
[5bd13a3d6c] - test: cleanup parallel/test-fs-readfile-unlink.js (nohmapp) #8764
[f523b82c7b] - test: cleanup parallel/test-file-write-stream2.js (Jenna Vuong) #8770
[9252e7a52d] - test: cleanup parallel/test-fs-realpath.js (mpmckenna8) #8769
[6ba8aa963e] - test: changed var to const, added strict equal checks (Lydia Katsamberis) #8762
[81ed50c5da] - test: add assertions to zero length buffer test (Lauren Spiegel) #8729
[b2aea505df] - test: use Buffer.alloc (Eugene Ostroukhov) #8748
[5e4d8984b4] - test: accept expected AIX result test-stdio-closed (Rich Trott) #8755
[906283837f] - test: skip cpu-intensive tests on slow hosts (Rich Trott) #8652
[aa5a16a8ae] - test: add expectWarning to common (Michaël Zasso) #8662
[b46d8cdcde] - test: cleanup vars to const and ‘==’ to ‘===’ (oogz) #8705
[5540e3d488] - test: fix test-cluster-worker-init.js flakyness (Ilkka Myller) #8703
[ed625fefd2] - test: add tests for add/remove header after sent (Niklas Ingholt) #8682
[e9d1426080] - test: enable cyrillic punycode test case (Ben Noordhuis) #8695
[b62735a302] - test: remove call to net.Socket.resume() (Alfred Cepeda) #8679
[9ca8722203] - test: cleanup stream tests (Italo A. Casas) #8668
[dfd022ff9e] - test: update test/parallel/test-child-process-stdio.js (matzavinos) #8584
[fef4341f46] - test: update test/parallel/test-eval.js (Pavol Otcenas) #8590
[43d6212257] - test: update test/parallel/test-child-process-send-utf8.js (Jonathan Prince) #8594
[6924a4d237] - test: update test/parallel/test-fs-read.js (Richard Walker) #8596
[1b494d3b96] - test: fixup parallel/test-async-wrap-post-did-throw.js (Jermaine Oppong) #8625
[edf9242f56] - test: cleanup test-os.js (delvedor) #8606
[d4ad8d9619] - test: refactor test-dgram-bind-shared-ports.js (Fikret Burak Gazioglu) #8582
[714cbfd46c] - test: update test-child-process-recv-handle (Jonathan Prince) #8648
[c664109c72] - test: improve test-child-process-stdout-flush (Wietse Venema) #8581
[c98d0c984d] - test: cleanup test-child-process-exec-env.js (Yevgen Safronov) #8600
[3269a7d6f5] - test: cleanup test-tls-connect-given-socket.js (Thomas van Lankveld) #8616
[5e5a1c0e3c] - test: cleanup test-child-process-buffering.js (Adri Van Houdt) #8578
[bcba27e8c6] - test: update test-cluster-disconnect-unshared-udp (matt-in-a-hat) #8599
[5a59ca6168] - test: changing equal to strictEqual in path (lrlna) #8628
[3ddf77fc24] - test: modernize js and tighten equality checking (Pavol Otcenas) #8618
[34f24e559d] - test: refactor parallel/test-tcp-wrap-listen (scott stern) #8640
[6fb8ebd98c] - test: cleanup cluster-disconnect-unshared-tcp test (Rachel) #8598
[fd7f87ef40] - test: var variables to const in zlib (Ishan Aditya) #8627
[fc6b4970b5] - test: modernize JS and tighten equality checking (Pavol Otcenas) #8580
[f2f6353bc4] - test: cleanup test-intl.js (Alessandro Metta) #8641
[14025db8c5] - test: cleanup test-child-process-disconnect.js (Pavol Otcenas) #8602
[9032ba60a5] - test: replace var by const test-tls-zero-clear-in (Sébastien Barbieri) #8621
[1aa1740f12] - test: improve coverage of the util module (Michaël Zasso) #8633
[28d009be76] - test: refactored test-crypto-random.js (Tobias Kahse) #8632
[a89deb9c59] - test: cleanup test-c-ares.js (Yevgen Safronov) #8577
[9c3d521d90] - test: improve child_process tests (Dennis Schwartz) #8617
[ba88f5b8f8] - test: improve coverage of the buffer module (Michaël Zasso) #8552
[b10467cde2] - test: improve test-https-agent.js (Dan.Williams) #8517
[82b7894d3b] - test: make test-tick-processor.js non-flaky (Fedor Indutny) #8542
[30e995f714] - test: add coverage for client._addHandle() (Rich Trott) #8518
[ff238c8d15] - test: fix flaky test-force-repl (Rich Trott) #8484
[83ed5085f4] - test: mark test-inspector flaky on windows (Rich Trott) #8835
[5a7dd18699] - test,benchmark: fix lint errors on v6.x (Jeremiah Senkpiel) #9029
[4492cc3e25] - test,lib: align arguments in multiline calls (Rich Trott) #8642
[3a72a606cb] - timers: improve setImmediate() performance (Brian White) #8655
[06c411753e] - timers: improve setTimeout/Interval performance (Brian White) #8661
[02da155e4b] - timers: remove unreachable code (yorkie) #8487
[cf92be6939] - tls: TLSSocket emits ‘error’ on handshake failure (Mariusz ‘koder’ Chwalba) #8805
[bee1955f4e] - tls: handle error events with _tlsError (Fedor Indutny) #8889
[d2eaa12a23] - tls: improve createSecureContext in _tls_common (yorkie) #8781
[b0234e7968] - tls: add ‘new’ keyword for Array constructor call (Mike Ralphson) #8514
[58c55108d2] - tools: disallow extra blank lines at EOF/BOF (Rich Trott) #8920
[336d505dd9] - tools: enable more remark-lint rules (Сковорода Никита Андреевич) #8708
[0310655cda] - tools: update remark configuration (Сковорода Никита Андреевич) #8666
[5c6284a417] - tools: add additional ESLint rules (Teddy Katz) #8643
[73d54a6fc7] - tools: add eslint rule prefer-assert-methods (Dany Shaanan) #8622
[ac6927f549] - tools: make argument alignment linting more strict (Rich Trott) #8642
[8684cea9b7] - tools: make sure links are correctly passed to marked (Timothy Gu) #8494
[a12ff5cc5d] - tools: clean up icu/README.md formatting (Сковорода Никита Андреевич) #8660
[fc68b12bc3] - (SEMVER-MINOR) util: Add format for SharedArrayBuffer (Yosuke Furukawa) #8587
[38be15549e] - util: don’t init Debug if it’s not needed yet (Bryan English) #8452
[7728f95967] - util: simplify SIMD setup (Dany Shaanan) #8579
[8282d6fc60] - vm: add error message if we abort (Franziska Hinkelmann) #8634
[b83f51a326] - win,msi: mark INSTALLDIR property as secure (João Reis) #8795
[623d3c6eb5] - win,tools: ignore linting for line breaks (João Reis) #8785
[7403aaa13f] - zlib: tighten up dictionary tests (Tarjei Husøy) #8512
[15474951a5] - zlib: fix raw inflate with custom dictionary (Tarjei Husøy) #8512

Windows 32-bit Installer: https://nodejs.org/dist/v6.8.0/node-v6.8.0-x86.msi

Windows 64-bit Installer: https://nodejs.org/dist/v6.8.0/node-v6.8.0-x64.msi

Windows 32-bit Binary: https://nodejs.org/dist/v6.8.0/win-x86/node.exe

Windows 64-bit Binary: https://nodejs.org/dist/v6.8.0/win-x64/node.exe

macOS 64-bit Installer: https://nodejs.org/dist/v6.8.0/node-v6.8.0.pkg

macOS 64-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-darwin-x64.tar.gz

Linux 32-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-x86.tar.xz

Linux 64-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-x64.tar.xz

Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-ppc64le.tar.xz

SunOS 32-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-sunos-x86.tar.xz

SunOS 64-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-sunos-x64.tar.xz

ARMv6 32-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-armv6l.tar.xz

ARMv7 32-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-armv7l.tar.xz

ARMv8 64-bit Binary: https://nodejs.org/dist/v6.8.0/node-v6.8.0-linux-arm64.tar.xz

Source Code: https://nodejs.org/dist/v6.8.0/node-v6.8.0.tar.gz

Other release files: https://nodejs.org/dist/v6.8.0/

Documentation: https://nodejs.org/docs/v6.8.0/api/

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

6ec44c9dd6e9e7ed5145089aeb4437893873dd4de7cd8dfd7afb875f9b8eeb77  node-v6.8.0-aix-ppc64.tar.gz
4ff13860f6bda86ce1053c673548c7f5d301a42ceb2f103c781024c3b88d2083  node-v6.8.0-darwin-x64.tar.gz
f76d896e9e48d7a7544463492f65b9cfaf15a4ccccf7aff16de5f59f5ea5971b  node-v6.8.0-darwin-x64.tar.xz
1cac1f6816e26982cb652314f84fec76c0494c1fbd080fe86a400f841ef215f1  node-v6.8.0-headers.tar.gz
d6f386113c75d360b36bb70d7a008b00ecd531fe3f8602998412d82969b9de0d  node-v6.8.0-headers.tar.xz
c7524e35bfc1fd4961dfac6bd6d602f474e909d63e3e48f892906a183bd9aa04  node-v6.8.0-linux-arm64.tar.gz
46c3a34f57ebd2f9988223d5c552fdc6f3cd96bd8611cd94f5bc5ddab762e2c6  node-v6.8.0-linux-arm64.tar.xz
2ae978777979c4af49945ce46dd014eba18d50a94520a8555e60d10113308b2f  node-v6.8.0-linux-armv7l.tar.gz
636fb4e5cd2d499cb3feb473f62c1033b5c3621256209aa13952a15c96a4b65d  node-v6.8.0-linux-armv7l.tar.xz
d955c56f404287054bb7433b934636305d8f9788294da1b34e7942288497485c  node-v6.8.0-linux-ppc64le.tar.gz
20609c3ab0c7d4429aace56d9dad43bd79d7cfc45a2134908fc6a5259be6a039  node-v6.8.0-linux-ppc64le.tar.xz
c8bfd55be7f47efa7c6d2d051eef0b99c70d222a2c70c3a013cffb4b171e1808  node-v6.8.0-linux-ppc64.tar.gz
6ef8f001dad55337321b871965816dca880b20d0c6d05a88de93afbfbde256b8  node-v6.8.0-linux-ppc64.tar.xz
76225db134036a6f2426e5c8e854ee62e8e2d4b522d916874e995f88a22ddb14  node-v6.8.0-linux-s390x.tar.gz
854830d5638dcbf448cc87eecec51aed63bafadebe42ce6eb9f1237e6e241896  node-v6.8.0-linux-s390x.tar.xz
9ddd118262cbe27fd668bc17c9c786cdd27c6a291cc712b4937013e4665f6e6d  node-v6.8.0-linux-x64.tar.gz
1db91adb194a2fa65d48311502a13aa2ab9787212364a6925544b9f20b92a97b  node-v6.8.0-linux-x64.tar.xz
d79eccb95911d3d3cf742d059e2d2f7669db33ef8f7f1f38f023c0e553f26d30  node-v6.8.0-linux-x86.tar.gz
30eecdcd99eaa8c2a4fc4c5d2c979878aeaa480b2f937c2b7c34efd1ec1b5de4  node-v6.8.0-linux-x86.tar.xz
05d4ba510fe8e9cd0cacb276979d7327ca613543fe988c668baddcadc60cb2b1  node-v6.8.0.pkg
9346655f3724e81d5fb49140d36097957f5ede725cc5070a22b3be4ce423bf48  node-v6.8.0-sunos-x64.tar.gz
9182c4ce9c9c2084efb1c90be746c87ea0ea4349a37bf326cb1798c84f60bdd7  node-v6.8.0-sunos-x64.tar.xz
7ae4a80269e254791a57b1759d4e5eeb2127a44a431444a36c02d3ff8727ac88  node-v6.8.0-sunos-x86.tar.gz
a86c7a8afcb8df73b9b22f25e5ab7bdaecb5ad566f9bd7fb0cf29f42598645da  node-v6.8.0-sunos-x86.tar.xz
a8a2d4b74734991dd45e5b2b0b13617864f1283f6d6bc262e1e4d30741114352  node-v6.8.0.tar.gz
f832ce5a90a86615c2ab5a4d485e0a60666a800f07411a3244c88c1027ff598d  node-v6.8.0.tar.xz
65f579915f01cbf361f8071e9561cbd151d7a128b1cd7171a12e5d129bf049bb  node-v6.8.0-win-x64.7z
f8ebc521d109bcc9d5b94ffef2922beb05e2e19fe8d7572333acf1b509082c3e  node-v6.8.0-win-x64.zip
b90e68d9e22e11655a9d4ce86327628f31f484108555143c838f46fc7cd57930  node-v6.8.0-win-x86.7z
e94c33550a80c1a92caba5951bfc596bf40e33fcab2fd857d795a88d163829b7  node-v6.8.0-win-x86.zip
e4ebd121116fa2d22cae6a56962b3d8a9b002c775d7db6adcdff3ba6d30ee6b0  node-v6.8.0-x64.msi
2bf4bb535f926138393766ea163af1032d469cfb704f892f5b73a98da67d131a  node-v6.8.0-x86.msi
f052f2093d0d788950a0706a21aa9252e3db19393b33588592dbd6f7052b7cbd  win-x64/node.exe
1fe7ae8725f2d172d54a9d4ae3461686f05144986905f495d6def2ace38c7203  win-x64/node.lib
fdedf887b7ace4596b9ff764a741123a7b783abce3f174a83d458cdc9bfe1d13  win-x64/node_pdb.7z
2208cb79a7c1c8ebb0d4e20cbfa2da0ef1b18da3a303715292e11602ea2eac7f  win-x64/node_pdb.zip
bbb88d6eab73ca0b8d4d5d8c3f1816820c2b3470debfb8bd8ed5b5bd98ea3d4b  win-x86/node.exe
f859a599260092e1022ed9163c2da2a5e0b644d988a7532bd013d14218e5f25e  win-x86/node.lib
de29e3e862c47541ce9bb1d00143f4e6d1fd3e283eaf0472634c7ea45a062e12  win-x86/node_pdb.7z
0d3ffdbb43a7b5b35a10df7a2d9ae76fe10b7fd7728370e61a10a9de0abc36b9  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org
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=oguF
-----END PGP SIGNATURE-----

2016-09-28

articles

Node v0.10.47(유지보수 버전)

작성자: Rod Vagg
원문: Node v0.10.47 (Maintenance)
번역: marocchino

중요한 보안 릴리스입니다. 모든 Node.js 사용자는 수정된 취약점에 대한 자세한 내용을 보안 릴리스 요약에서 확인하세요.

주요 변경사항:

buffer: Buffer.concat()으로 생성된 새 Buffer 객체에 원본 Buffer 객체의 총 길이를 초과하는 totalLength 파라미터를 넘길 때 초과된 바이트에 0를 채워넣습니다.(Сковорода Никита Андреевич)
http:
- CVE-2016-5325 - ServerResponse#writeHead()의 reason 인자의 허용된 문자를 올바르게 검증합니다. 응답 분리(response splitting) 공격의 가능성을 수정했습니다. 이 변경으로 HTTP 응답 설정에서 throw가 발생할 수 있습니다. 사용자는 이 부분에 try/catch를 적용하셔야 합니다. Evan Lucas, Romain Gaucher가 각각 처음 보고했습니다.(Evan Lucas)
- 이제 부적절한 상태 코드를 보낼 수 없습니다. 100~999 사이의 3자리 수로 제한됩니다. 적절한 검증이 없으면 응답 분리 공격을 받을 가능성이 있습니다. v4.x에서 백포트 했습니다.(Brian White)
openssl: 1.0.1u로 업그레이드, Node.js에 영향을 주는 몇몇 결함 CVE-2016-6304(“OCSP 상태 요청이 무한 메모리 증가로 확장”, 높은 심각도), CVE-2016-2183, CVE-2016-6303, CVE-2016-2178, CVE-2016-6306을 수정했습니다.
tls: CVE-2016-7099 - 올바르지 않은 와일드카드 인증 검증을 수정했습니다. TLS 서버가 자신의 호스트 이름에 대해 적절하지 않은 *. 와일드카드 검증 때문에 올바르지 않은 와일드 카드 인증을 할 수 있었습니다. Alexander Minozhenko, James Bunton(Atlassian)이 처음 보고했습니다.(Ben Noordhuis)

Commits:

[fc259c7dc4] - buffer: zero-fill uninitialized bytes in .concat() (Сковорода Никита Андреевич) https://github.com/nodejs/node-private/pull/67
[35b49ed4bb] - build: turn on -fno-delete-null-pointer-checks (Ben Noordhuis) https://github.com/nodejs/node/pull/6738
[03f4920d6a] - crypto: don’t build hardware engines (Rod Vagg) https://github.com/nodejs/node-private/pull/68
[1cbdb1957d] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25368
[c66408cd0c] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) https://github.com/nodejs/node-v0.x-archive/pull/25654
[68f88ea792] - deps: separate sha256/sha512-x86_64.pl for openssl (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25654
[884d50b348] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) https://github.com/nodejs/node/pull/8718
[bfd6cb5699] - deps: upgrade openssl sources to 1.0.1u (Shigeki Ohtsu) https://github.com/nodejs/node/pull/8718
[3614a173d0] - http: check reason chars in writeHead (Evan Lucas) https://github.com/nodejs/node-private/pull/48
[f2433430ca] - http: disallow sending obviously invalid status codes (Evan Lucas) https://github.com/nodejs/node-private/pull/48
[0d7e21ee7b] - lib: make tls.checkServerIdentity() more strict (Ben Noordhuis) https://github.com/nodejs/node-private/pull/62
[1f4a6f5bd1] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25654
[88dcc7f5bb] - v8: fix -Wsign-compare warning in Zone::New() (Ben Noordhuis) https://github.com/nodejs/node-private/pull/62
[fd8ac56c75] - v8: fix build errors with g++ 6.1.1 (Ben Noordhuis) https://github.com/nodejs/node-private/pull/62

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

cee8789aac9e2e5b96a1e63ae5e43ed757321c565b64a3d5d239472b18254312  node.exe
6010956e477cd2494d7d7decfca672580558519f225e797a5558955a9fbf8419  node.exp
04358767337029cab84cad1e48b95587bdeca628646437b89eae877cb3506f57  node.lib
5533b872d78b6bfb1d19ef482930dae79c3e8a85915d4b26100d2067affee6de  node.pdb
6920608a46761c33056d78e504222a3a42dc8c0cf8ab6ff7497cd4a81b06d090  node-v0.10.47-darwin-x64.tar.gz
e220a658b6d52408398a2c0f88ade702154503c50183f76542292142d9686e75  node-v0.10.47-darwin-x64.tar.xz
0907e94e81dc63e284e9dcb18925ceed102ceffb8a4cefab8f729c203f371c93  node-v0.10.47-darwin-x86.tar.gz
e5d042ee7d695e5e0f5c78c59f98ae3d47de7e5a63230894a0f51010cab2376b  node-v0.10.47-darwin-x86.tar.xz
6587d1040697dc7be7168413910a912f33a73ed95e0c19739abad4a63681b74e  node-v0.10.47-headers.tar.gz
a3ed6bf32e0afae7c676fff35d6819406cc235b24f09972b82f2c15ac90dc7c0  node-v0.10.47-headers.tar.xz
80757ae8f7bc3161fe44615344c784918ebd93a51ca6f789a75e3d472972eb77  node-v0.10.47-linux-x64.tar.gz
c93a84934546d6a0835f053ffc0e6a4273d967e7db442ecbfc731fa40c4b1bc2  node-v0.10.47-linux-x64.tar.xz
3ee003748c6ce90918a909ef58e21376db05a2988ba6fad92fded28541ca4006  node-v0.10.47-linux-x86.tar.gz
b406f6ff4938c36ac327ae00160fa4581f4e3d1e504c2b534136191cc7409026  node-v0.10.47-linux-x86.tar.xz
10f2dba060e184ba274cddd61494f4054a8d6e2062c8b13a461bfb2f08df07c4  node-v0.10.47.pkg
e4c9b4ff3745477c92ebd467606a5b7af2b95a51484f1491c91e1824c7b2b4ae  node-v0.10.47-sunos-x64.tar.gz
ef6dbe022a61aba2a86784ab11463aaf8ed637f2f8a989aef4edbaa620037330  node-v0.10.47-sunos-x64.tar.xz
f79fcd0700367506b6a8a7bf8ac0253146205ecc9617cb376744b108f126b4e3  node-v0.10.47-sunos-x86.tar.gz
0a8eddac8135851b33542ca10994a6ed4911a57584df3872bd259ca7f9120d17  node-v0.10.47-sunos-x86.tar.xz
5281fa7ddff755c34602a09ef8027f0bda0f7851b1e374fd0e0c33da93123056  node-v0.10.47.tar.gz
335bdf4db702885a8acaf2c9f241c70cabd62497361da81aca65c8e8a8e7ff09  node-v0.10.47.tar.xz
3c1aee23a996dcfd853a9fec4df05e898abab5332bac542a6ccf1661e45bf9f5  node-v0.10.47-x86.msi
0ab19d1cb3aea4b3639ce2c124c47344fd9060ce659031426fe96bfa6594b5d5  openssl-cli.exe
95d8bd6120105fd6a0327e44e8556cbdb5d21f5b431451f50eb58cf3f4112b4d  openssl-cli.pdb
20d866978497f83fcf8654576a6ce42bc496096c8407e8f324eb77fa181a8a59  x64/node.exe
ceb9e983cc14076e3737153aa070fc3459e8d6a3dd81b64d5ea3298e96899c9a  x64/node.exp
3ffe2805c1032ac4d636ecae6f322da862809bbaf12344e32b3f7b336b88c04e  x64/node.lib
d42d0a8a090a409428d42aed8987a0160dd3054d8f70e00ce44a1ebdb414d70c  x64/node.pdb
871f488dae2ccf8f1727b9773bdb4c9c0f36188783ae6d403f73c00363d9a9ed  x64/node-v0.10.47-x64.msi
ec2ac36c01d2153fc814f20143d1279aba47d39b68d06753259cf2353057e036  x64/openssl-cli.exe
513827079363c3c9391f1210d224eee91e18da80a69e56e0f238acc96e7f0f0e  x64/openssl-cli.pdb
-----BEGIN PGP SIGNATURE-----

iQEcBAEBAgAGBQJX6w1sAAoJEMJzeS99g1RdN1oH/2XvMEVsuNrG1vh5ADeL2wfB
ZG2iXFKbnydKDLTtqBJuDtt7vNyat5KCzKjUMNW0gGtMp9rzE+AGP8WpuQg5xFLB
xiaGtTyQ6PuXem6g0j5dMz/D9PVRESDHz5D/WeJXHRoebtl+W8TOdVnCY0DatjHf
wCGjx7ngpEo3hN6KxBZFeI3TpK1YkVBRv+hwSsU5kPVwfbMhVQd89H/Y6VO0sydS
HJ+dMPSX/LyGjJ+oH941u5eOrnL+h4skOe1PDy0DD8HjO9oaNt8Blv4vhSdyOX2y
1e3OcS3VWQxvMWkdGEzbBX4xdjsQubs9cw2EejS6iDLrS9a6rwQjPCHQowJDg8k=
=gxlj
-----END PGP SIGNATURE-----

2016-09-28

articles

Node v0.12.16(유지보수 버전)

작성자: Rod Vagg
원문: Node v0.12.16 (Maintenance)
번역: marocchino

중요한 보안 릴리스입니다. 모든 Node.js 사용자는 수정된 취약점에 대한 자세한 내용을 보안 릴리스 요약에서 확인하세요.

주요 변경사항:

buffer: Buffer.concat()으로 생성된 새 Buffer 객체에 원본 Buffer 객체의 총 길이를 초과하는 totalLength 파라미터를 넘길 때 초과된 바이트에 0를 채워넣습니다.(Сковорода Никита Андреевич)
http:
- CVE-2016-5325 - ServerResponse#writeHead()의 reason 인자의 허용된 문자를 올바르게 검증합니다. 응답 분리(response splitting) 공격의 가능성을 수정했습니다. 이 변경으로 HTTP 응답 설정에서 throw가 발생할 수 있습니다. 사용자는 이 부분에 try/catch를 적용하셔야 합니다. Evan Lucas, Romain Gaucher가 각각 처음 보고했습니다.(Evan Lucas)
- 이제 부적절한 상태 코드를 보낼 수 없습니다. 100~999 사이의 3자리 수로 제한됩니다. 적절한 검증이 없으면 응답 분리 공격을 받을 가능성이 있습니다. v4.x에서 백포트 했습니다.(Brian White)
openssl:
- 1.0.1u로 업그레이드, Node.js에 영향을 주는 몇몇 결함 CVE-2016-6304(“OCSP 상태 요청이 무한 메모리 증가로 확장”, 높은 심각도), CVE-2016-2183, CVE-2016-6303, CVE-2016-2178, CVE-2016-6306을 수정했습니다.
- 동적 서드파티 엔진 모듈 지원을 제거했습니다. 공격자가 Node.js 런타임에 동적 엔진 모듈로 가장하여 악의적인 코드를 숨길 수 있습니다. Ahmed Zaki(Skype)가 처음 보고했습니다.(Ben Noordhuis, Rod Vagg)
tls: CVE-2016-7099 - 올바르지 않은 와일드카드 인증 검증을 수정했습니다. TLS 서버가 자신의 호스트 이름에 대해 적절하지 않은 *. 와일드카드 검증 때문에 올바르지 않은 와일드 카드 인증을 할 수 있었습니다. Alexander Minozhenko, James Bunton(Atlassian)이 처음 보고했습니다.(Ben Noordhuis)

Commits:

[38d7258d89] - buffer: zero-fill uninitialized bytes in .concat() (Сковорода Никита Андреевич) https://github.com/nodejs/node-private/pull/66
[1ba6d16786] - build: turn on -fno-delete-null-pointer-checks (Ben Noordhuis) https://github.com/nodejs/node/pull/6737
[71e4285e27] - crypto: don’t build hardware engines (Rod Vagg) https://github.com/nodejs/node-private/pull/69
[b6e0105a66] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25368
[1caec97eab] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) https://github.com/nodejs/node-v0.x-archive/pull/25654
[734bc6938b] - deps: separate sha256/sha512-x86_64.pl for openssl (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25654
[7cc6d4eb5c] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) https://github.com/nodejs/node/pull/8718
[4a9da21217] - deps: upgrade openssl sources to 1.0.1u (Shigeki Ohtsu) https://github.com/nodejs/node/pull/8718
[6d977902bd] - http: check reason chars in writeHead (Evan Lucas) https://github.com/nodejs/node-private/pull/47
[ad470e496b] - http: disallow sending obviously invalid status codes (Evan Lucas) https://github.com/nodejs/node-private/pull/47
[9dbde2fc88] - lib: make tls.checkServerIdentity() more strict (Ben Noordhuis) https://github.com/nodejs/node-private/pull/61
[db80592071] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) https://github.com/nodejs/node-v0.x-archive/pull/25654

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

6e1d0df2fbdb9255b1ad7fd5b4aa96590ced9053406b9ae336535dd587ae1631  node.exe
a0b4c351cc2d3624cf07c68fa9fcec08a7aa146c4436daf1325369345f3ae2ef  node.exp
24b3e250cfa8155d2f002af8328760aaa06ddceff745794e86bb3d0e372a244b  node.lib
cc8fbc5549d4b9dfd44a7cc76619cf635712fba8ab153fcbd37d94fcad130184  node.pdb
c602cbced0d6a2fb9d97f25a72833cf564b35fdf742f8627a93b6cdb5132ea95  node-v0.12.16-darwin-x64.tar.gz
5a91d99d8944ec8f88c2c6b9d51ad4159e84c2fcfcb29ddec6ea8516b05233e0  node-v0.12.16-darwin-x64.tar.xz
2cb0b6d33deab16aa261eeadec9c0da40d23e391b626a096f36b75ded62e471f  node-v0.12.16-darwin-x86.tar.gz
d0feea70fc15b658101b3517fe57c0cc9b3dedf4116f349c4be45e4850251964  node-v0.12.16-darwin-x86.tar.xz
cb30a68fc3a03b8bb98d8b17e389537610c7cf663e7dd113868c13c99fcffee6  node-v0.12.16-headers.tar.gz
84a1b0007dbaad41f5dc15ca2b57e365fa1cd82d4b1b9d744ab62dccd920b29e  node-v0.12.16-headers.tar.xz
d9e1cd239844f2a5641e02e48b3c7955e3e73ff3c3d20629c24b561f08ab8219  node-v0.12.16-linux-x64.tar.gz
7905d4c22aab6d65121a35daeada11d217f5d9608d5bde81007ccd908f3f793f  node-v0.12.16-linux-x64.tar.xz
ea95fb22f07469d79fd0347e4f768267be50889fd6de8854bf2f834c346c93a4  node-v0.12.16-linux-x86.tar.gz
12f2f7fddf5796d07851cb3b923290925c6ca1cf77cd26e67f56e9b8f16df5d3  node-v0.12.16-linux-x86.tar.xz
bc9984523ccd944be1cb8de4f4a454b5c1325b9bfae8db8a024a3be60ea5027f  node-v0.12.16.pkg
817671fe6303a1bf2ea47876e2fbbe271ec3ba721b6e688836117a70cc2631c3  node-v0.12.16-sunos-x64.tar.gz
b59b734777b9f2ab8006f85420d3b8e24634f424b0deb3ee85ab71dd74a4a981  node-v0.12.16-sunos-x64.tar.xz
452ade498e7b4d0050cc8c60bb6aa2dcb16562026441ad78063f473435691984  node-v0.12.16-sunos-x86.tar.gz
ea0867a8df11422f72a313643a49a92a6b161706875bd4ab8c0708662f53b8ee  node-v0.12.16-sunos-x86.tar.xz
312c0b74b0815f0514de9bf00667850d4f6ce184126f02f3d8dbf40fd48235eb  node-v0.12.16.tar.gz
4ce3a862eb28be752fbd65fe032c1d55cbbc1145af39292766eea701f67ba5f6  node-v0.12.16.tar.xz
9c66769c2b40c042658e3505432f8cf3c1c700245e93be98a24c482cec5923ea  node-v0.12.16-x86.msi
92111f120281409f0f41d8afb0746cc328c56227f6264ef610673268486d2043  openssl-cli.exe
b44576e0f9ee304102038491deb77c5b2d44a0499d119d23a0da945ff54308f6  openssl-cli.pdb
16e89836b368c67759ddb115ee5ed70449686cd387918c94bc0fa384120d586f  x64/node.exe
8b0fb2ffe3fa2aedf892a338d8783ce3b49a775335af007f41e0a293e692c436  x64/node.exp
7e060f0c42315dd3267ff4ab3907ab537d6b491c52b2353f4482a39146d73864  x64/node.lib
2bcc5665344c8c625d385d293fad2d520e332d06a327cd8bc1d7ede5ddff91f8  x64/node.pdb
4dd5fb2c022dfc46dd53c68bfb2461d4a8d8d6c79351f82db48af08e6193dd18  x64/node-v0.12.16-x64.msi
a5e97c0142cdffd2ce9dfad8652e2ab52a5503f5a91c8cfdcc653836cbd0e053  x64/openssl-cli.exe
d305298bfc3348bd0b01d84a0de9a16c04ae396261663fd44122c58ba9950c3c  x64/openssl-cli.pdb
-----BEGIN PGP SIGNATURE-----

iQEcBAEBAgAGBQJX6w2WAAoJEMJzeS99g1RdK88H/iV7CbWaI9/13eez1uKRZZHz
B/gGrcaCY6zihqCX6VT8uK/xhnI+ZRtxkTzwHxMnbYAuTK1V5tf4BJQOOXygm0+U
AsQAlJEZja9vb5D4hA+4wwSct3F39cADdgebpgPpAzdwB/xAkJZDNSrP9qtJs3gC
JjBX+pxepD9UHrfr9Jjka1yntdd+LXIaS4kHbdkolHAfrFGw+iTyjzibnRHndomb
JYC10JB+IGEFletFHylfj2J5znb1F4bHhatkoPDVPjat8KZLvXZCKeCdcLEWmYa5
mSSiw0VDmBcRnxkT648RKw12vULxQOV2ahVxc402Xbc2iMaekXOC0eaW2jfTolE=
=Hxbw
-----END PGP SIGNATURE-----

2016-09-28

articles

Node v4.6.0(LTS)

작성자: Rod Vagg
원문: Node v4.6.0 (LTS)
번역: marocchino

중요한 보안 릴리스입니다. 모든 Node.js 사용자는 수정된 취약점에 대한 자세한 내용을 보안 릴리스 요약에서 확인하세요.

주요 변경사항

Semver 부 버전:

openssl:
- 1.0.2i로 업그레이드, Node.js에 영향을 주는 몇몇 결함 CVE-2016-6304(“OCSP 상태 요청이 무한 메모리 증가로 확장”, 높은 심각도), CVE-2016-2183, CVE-2016-6303, CVE-2016-2178, CVE-2016-6306을 수정했습니다.(Shigeki Ohtsu) #8714
- 1.0.2j로 업그레이드, 1.0.2i에 포함된 CRL을 사용할 때 충돌하는 결함(CVE-2016-7052)을 수정했습니다.(Shigeki Ohtsu) #8786
- 동적 서드파티 엔진 모듈 지원을 제거했습니다. 공격자가 Node.js 런타임에 동적 엔진 모듈로 가장하여 악의적인 코드를 숨길 수 있습니다. Ahmed Zaki(Skype)가 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#70
http: CVE-2016-5325 - ServerResponse#writeHead()의 reason 인자의 허용된 문자를 올바르게 검증합니다. 응답 분리(response splitting) 공격의 가능성을 수정했습니다. 이 변경으로 HTTP 응답 설정에서 throw가 발생할 수 있습니다. 사용자는 이 부분에 try/catch를 적용하셔야 합니다. Evan Lucas, Romain Gaucher가 각각 처음 보고했습니다.(Evan Lucas) nodejs/node-private#46

Semver 수 버전:

buffer: Buffer.concat()으로 생성된 새 Buffer 객체에 원본 Buffer 객체의 총 길이를 초과하는 totalLength 파라미터를 넘길 때 초과된 바이트에 0를 채워넣습니다.(Сковорода Никита Андреевич) nodejs/node-private#65
tls: CVE-2016-7099 - 올바르지 않은 와일드카드 인증 검증을 수정했습니다. TLS 서버가 자신의 호스트 이름에 대해 적절하지 않은 *. 와일드카드 검증 때문에 올바르지 않은 와일드 카드 인증을 할 수 있었습니다. Alexander Minozhenko, James Bunton(Atlassian)이 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#63

Commits

[93b10fbec2] - buffer: zero-fill uninitialized bytes in .concat() (Сковорода Никита Андреевич) nodejs/node-private#65
[c214e8847d] - crypto: don’t build hardware engines (Ben Noordhuis) nodejs/node-private#70
[af9dda152c] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/node#1836
[6bb9749c33] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) nodejs/node#1389
[5176a8ad57] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) nodejs/node#1389
[aa9ed60a51] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8786
[0c74e2ad35] - deps: upgrade openssl sources to 1.0.2j (Shigeki Ohtsu) #8786
[8f3d6760cf] - deps: update openssl asm and asm_obsolete files (Shigeki Ohtsu) #8714
[e8f29e2ba8] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/node#1836
[01cf5b0ae7] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) nodejs/node#1389
[19ae4e8ae1] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) nodejs/node#1389
[cbed5e64be] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8714
[e7fdace18f] - deps: upgrade openssl sources to 1.0.2i (Shigeki Ohtsu) #8714
[b5c57ff772] - http: check reason chars in writeHead (Evan Lucas) nodejs/node-private#46
[3ff82deb2c] - lib: make tls.checkServerIdentity() more strict (Ben Noordhuis) nodejs/node-private#63
[7c696e201a] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) nodejs/node#1389
[44e5776c0f] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) nodejs/node#1389
[c7a601c090] - test: remove openssl options of -no_ (Shigeki Ohtsu) #8714

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

525ab42c767525edb7e512c600dedb20d826a6f58e1d6d1b774651a1c782a267  node-v4.6.0-darwin-x64.tar.gz
3c728c25b541fd8b88826568e7867098658df7c45d2389b60877c093a9803bd0  node-v4.6.0-darwin-x64.tar.xz
5eb4b4324d72297066b4b8c91d0b1e7c82cabde9986c986682be66202f37176b  node-v4.6.0-headers.tar.gz
862ce573bcfd592ea0c24861c0097bd23ca842d263e03f5dfa1ce08be888f20f  node-v4.6.0-headers.tar.xz
bf03e7384b727bc80c0c59cf38ba5704d83faa7f455f40fa62a67c8331dde7d6  node-v4.6.0-linux-arm64.tar.gz
7683e664b648c4ec3f86935f4b4f9fbf56f19d171e1e29d5adf687fc4c392b5b  node-v4.6.0-linux-arm64.tar.xz
e7db1c612eb9dd55e3ff246bfa7c35f0b87664e6e2bc7b32891de8cc1e48f5a7  node-v4.6.0-linux-armv6l.tar.gz
766d10a73886bbe1a3abd4b78563a825408cab7e116e590f1bbdc9b88cc3aa09  node-v4.6.0-linux-armv6l.tar.xz
9e46082bef5b521afd483532c8d3715f33d1d4302b7980b904bea3182817275f  node-v4.6.0-linux-armv7l.tar.gz
def976771b4a2a4488b87a06c8295ffea55671f7f42df13e3718341d28bf2d40  node-v4.6.0-linux-armv7l.tar.xz
2aa9518ea637cc06877a01c40d4608cf9a7f1588000cf3e550e4ab24c170aee6  node-v4.6.0-linux-ppc64le.tar.gz
b06c39da4fae47e2d204cae183425a3a77849944c5be47c5807f4f08cef51f64  node-v4.6.0-linux-ppc64le.tar.xz
ee77fb6a1dfbe166c9faee25b4f110af25723c64b0abcb9085507b8445fa2e7b  node-v4.6.0-linux-ppc64.tar.gz
e35955a846c1082e1681fdcbf488a66e43f56fb0aa7205b86a4aa0ce69dfb1eb  node-v4.6.0-linux-ppc64.tar.xz
acf08148cecf245f28126122ac9128ff9909f00938b18d80fc0b92648d1c98a8  node-v4.6.0-linux-x64.tar.gz
a77ceb75a05984153304ad0f09b11d234ca54a67714ba575b52e4298df0343d1  node-v4.6.0-linux-x64.tar.xz
9aab75618de0dca640d747aa25073cbb5a01342dd8aa177df8112e26a39541f4  node-v4.6.0-linux-x86.tar.gz
8994ee2c180a97fc4280bfb390444a4bcb2629290aa8243e7ab6271efab593f4  node-v4.6.0-linux-x86.tar.xz
0359c50c5d7e887c7f17d7ea4f42b1776ac8df263c6471bf8054b5c9f3d42a67  node-v4.6.0.pkg
e9a02da71d0cd6a1874f4a7d227dfcbe6ab9492eba419b5c9a83c8c95065195f  node-v4.6.0-sunos-x64.tar.gz
8ea3d2887b4850fb92f75573f30bbb257b7cd11f71cda12becc34868c535acf8  node-v4.6.0-sunos-x64.tar.xz
f8536a25629ef1ad3228b2d712e2fa43bf66980673d3cdf469da37c0407e9633  node-v4.6.0-sunos-x86.tar.gz
5750a8256356f43c6b80854b7c6ce46d6933e64cf5f2efecdf4841e4fe582a28  node-v4.6.0-sunos-x86.tar.xz
0838f12e329edb252e6e6baddca85632bf5ff2ec900e737e88f9bf9b38946b1b  node-v4.6.0.tar.gz
42910dbd34e49bfc40580e06753947c30d31101455a38e9f0343a23d67c0c694  node-v4.6.0.tar.xz
0c6509c13cfa9795f08b9bf694383de7e4d93cde14a9e8979a92f21736e19498  node-v4.6.0-win-x64.7z
0782bd50251c2a159fba5b874c56fb4a6680f454cc16892cee8e62d17b7d6f60  node-v4.6.0-win-x64.zip
413f98f2b765fe862ff6971724c3f265dbfe5a2cb865dd1894b4447426542c91  node-v4.6.0-win-x86.7z
13a5dcb90a8397f62c55945b65cb1c7b9d7576af3cbfc8d9cb67f72edcf68201  node-v4.6.0-win-x86.zip
80926b2df6e7efc8adda2e1fcb6328b99fe878d728cf93f39b0c710adc1bcb35  node-v4.6.0-x64.msi
5f91bf57512c1fa96d016c8f6236c689998ed926faa13aaf2170154342ca915a  node-v4.6.0-x86.msi
7564472c672e729a724ffe890ba06ec318c9e311684516a25a47b3f1e549504e  win-x64/node.exe
24178152fc3a99b9b83a1620897c5624cb7e0ba0544da38e18ca0cde807435d4  win-x64/node.lib
44dbbec125f3c4804ed5d002628c7ddb8e51cd352af0542b9edebcfd718967b5  win-x64/node_pdb.7z
b92e5e5031f19f201ec4568d7761c263af9a20e02b34bdd9e5f7191750aee3fb  win-x64/node_pdb.zip
7c9287cec4379082393d85af919a36a3512aa6bfcbf3deba3261a472580041f8  win-x86/node.exe
7d5988939f1567a4d7180010f49ec36b8d3897a8eccb78e461a774d8d2de614e  win-x86/node.lib
98f955f69195f12ec429e4cff629c650a6b1dcb43a1c18cef9cf79a11067c88d  win-x86/node_pdb.7z
0d0faf3bf0fcf50a943d8202d24d8eb8bb0695ea99498360c1a8a745c7811fd7  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----

iQEcBAEBAgAGBQJX6xhwAAoJEMJzeS99g1RdoksH/139ljOj+Vjc0nVNRn5m2KxC
3gldiKMaNBeefV9JOA3tG1fei3KPvO/PRHVCYogQO8IEEpJ5Yer+zQpsLOg/xGDR
nsg9xOBupnSlUAfALilWhkDkBDgcauuiII3tP98GjDaSS+cH6Pctt08l2XTCROYk
YThc0nonmobDGSsHVf4biv+ySMocmpZGU0h10xS2lRVlrxMpEzsxVuCSv52fRDKy
gD0Hf9ZSFi9i1MIxKOIolYpdIVmrS29c6J0LbjW2WcTk21jIOENXEk1uEl71OWHD
plT4hauehu/3a89FcqsOu10MqLStFuEm0T1CXtmn4/Vm2FhJnZfdiCDT1YABD00=
=LyAk
-----END PGP SIGNATURE-----

2016-09-28

articles

Node v6.7.0(현재 버전)

작성자: Evan Lucas
원문: Node v6.7.0 (Current)
번역: marocchino

중요한 보안 릴리스입니다. 모든 Node.js 사용자는 수정된 취약점에 대한 자세한 내용을 보안 릴리스 요약에서 확인하세요.

주요 변경사항

Semver 부 버전:

openssl:
- 1.0.2i로 업그레이드, Node.js에 영향을 주는 몇몇 결함 CVE-2016-6304("OCSP 상태 요청이 무한 메모리 증가로 확장, 높은 심각도), CVE-2016-2183, CVE-2016-2178, CVE-2016-6306을 수정했습니다.(Shigeki Ohtsu) #8714
- 1.0.2j로 업그레이드, 1.0.2i에 포함된 CRL을 사용할 때 충돌하는 결함(CVE-2016-7052)을 수정했습니다.(Shigeki Ohtsu) #8786
- 동적 서드파티 엔진 모듈 지원을 제거했습니다. 공격자가 Node.js 런타임에 동적 엔진 모듈로 가장하여 악의적인 코드를 숨길 수 있습니다. Ahmed Zaki(Skype)가 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#73
http: CVE-2016-5325 - ServerResponse#writeHead()의 reason 인자의 허용된 문자를 올바르게 검증합니다. 응답 분리(response splitting) 공격의 가능성을 수정했습니다. 이 변경으로 HTTP 응답 설정에서 throw가 발생할 수 있습니다. 사용자는 이 부분에 try/catch를 적용하셔야 합니다. Evan Lucas, Romain Gaucher가 각각 처음 보고했습니다.(Evan Lucas) nodejs/node-private#60

Semver 수 버전:

buffer: Buffer.concat()으로 생성된 새 Buffer 객체에 원본 Buffer 객체의 총 길이를 초과하는 totalLength 파라미터를 넘길 때 초과된 바이트에 0를 채워넣습니다.(Сковорода Никита Андреевич) nodejs/node-private#64
src: crypto.pbkdf2()에 빈 패스워드나 솔트를 넘겨 치명적인 오류를 일으킬 수 있는 회귀를 수정했습니다.(Rich Trott) #8572
tls: CVE-2016-7099 - 올바르지 않은 와일드카드 인증 검증을 수정했습니다. TLS 서버가 자신의 호스트 이름에 대해 적절하지 않은 *. 와일드카드 검증 때문에 올바르지 않은 와일드 카드 인증을 할 수 있었습니다. Alexander Minozhenko, James Bunton(Atlassian)이 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#75
v8: 얼려진 객체에 정규표현을 사용할 때 충돌이 일어나는 회귀를 수정했습니다.(Myles Borins) #8673

Commits

[8fb8c46303] - buffer: zero-fill uninitialized bytes in .concat() (Сковорода Никита Андреевич) nodejs/node-private#64
[e5998c44b4] - crypto: don’t build hardware engines (Ben Noordhuis) nodejs/node-private#73
[ed4cd2eebe] - deps: cherry-pick 34880eb3dc from V8 upstream (Myles Borins) #8673
[f8ad0dc0e2] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836
[9181def9d4] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389
[2dee4af5c3] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389
[4255dc82a9] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8786
[c08d81df50] - deps: upgrade openssl sources to 1.0.2j (Shigeki Ohtsu) #8786
[2573efc9df] - deps: update openssl asm and asm_obsolete files (Shigeki Ohtsu) #8714
[67751f3d7e] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836
[4382de338b] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389
[cfa00611b0] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389
[3e4ea603b3] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8714
[8937fd0dbb] - deps: upgrade openssl sources to 1.0.2i (Shigeki Ohtsu) #8714
[c0f13e56a2] - http: check reason chars in writeHead (Evan Lucas) nodejs/node-private#60
[743f0c9164] - lib: make tls.checkServerIdentity() more strict (Ben Noordhuis) nodejs/node-private#75
[38bed98a92] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389
[a25fc3f715] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389
[5902ba3989] - src: Malloc/Calloc size 0 returns non-null pointer (Rich Trott) #8572
[a14d832884] - test: remove openssl options of -no_ (Shigeki Ohtsu) #8714

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

69fab7a1ebeee54d5e3160eb9366e88a61500731fad86dee98c79c4a14b56bc6  node-v6.7.0-darwin-x64.tar.gz
b10270f028be73771fa8536f0c69b33f30e1bb1fd15d9a493a7365cde56af0d2  node-v6.7.0-darwin-x64.tar.xz
42f0fdcd937409842d76a5852782acfdb0b6fa8e3520df6694f2abaa7c9e942c  node-v6.7.0-headers.tar.gz
f6ddea52f8b13bcece38c965d13f6073bd7980dadcfd903b8c1872f6d8bbacb7  node-v6.7.0-headers.tar.xz
45ffd727bcab41a544ad7862fe985f6beac4fcd96c63e116ca467d1147ba6454  node-v6.7.0-linux-arm64.tar.gz
87f59a19d9a44ff938a553425c5c82a46be1f0cd43bf7c256e1c4fb61833a82a  node-v6.7.0-linux-arm64.tar.xz
0f8e0dbaa6bcccd22db75077fed1afb28c2b225b6cdc185913178ae395a68ef9  node-v6.7.0-linux-armv6l.tar.gz
bf07229d718ebe3a8d8bc59cbf06d945b89045285e44f36f516c8e0f65a5302b  node-v6.7.0-linux-armv6l.tar.xz
1e7e138ba8c54d7a0fbf5e3f188442a14a70409dc154b74b17635bcff74e4a81  node-v6.7.0-linux-armv7l.tar.gz
18b6d9df3e2aaba2d72e1f4c3cfdd3b963c23faa64d3ad72d5690959bc3dde08  node-v6.7.0-linux-armv7l.tar.xz
87f7dd1776bffd569d4f619dde99caca215c073f7d26853e16d6f93fcf681113  node-v6.7.0-linux-ppc64le.tar.gz
fc1b70f866a1c1972c55cc5d2a506f0dcc623e749d6cbe470d650c7c631f231e  node-v6.7.0-linux-ppc64le.tar.xz
e8ce540b592d337304a10f4eb19bb4efee889c6676c5f188d072bfb2a8089927  node-v6.7.0-linux-ppc64.tar.gz
6ee874b6567f7f06708f6ccb66a27dc7317b4c493b7a6c3bb49c1e53c4bdf31e  node-v6.7.0-linux-ppc64.tar.xz
e0f2616b4beb4c2505edb19e3cbedbf3d1c958441517cc9a1e918f6feaa4b95b  node-v6.7.0-linux-s390x.tar.gz
647bacc68bd0101b04074d5740492a6511dee69e23a7ff03765674d7a9fa93df  node-v6.7.0-linux-s390x.tar.xz
abe81b4150917cdbbeebc6c6b85003b80c972d32c8f5dfd2970d32e52a6877af  node-v6.7.0-linux-x64.tar.gz
09263a844c31933c6f31e576e580faf01d3bbb056efb8713388dc8d09674f8c2  node-v6.7.0-linux-x64.tar.xz
fa94c93a4a3600d68e003a399f5cf5e109c2d10505b4d9456373c25953eb9bf5  node-v6.7.0-linux-x86.tar.gz
e89a77020bd579186adbc46f6a668d3524f980c5fc75f63e1d5b5362423bcebb  node-v6.7.0-linux-x86.tar.xz
c5d46d0f105ed652c9a353d8411558c9c4610db874f01ef07e57ad613e5d4237  node-v6.7.0.pkg
33f240dac58a1293a08b66ecd01a70849c693e3a9e58a94cb7ee92126a894984  node-v6.7.0-sunos-x64.tar.gz
9df8f3d1048065fccb1c1746cfd1f3a22ef46075399e7dc92d38949e37607de7  node-v6.7.0-sunos-x64.tar.xz
80dacf34a5e17f3eeabe15e212005daeaa189caa424a83a23f302a9fa5996565  node-v6.7.0-sunos-x86.tar.gz
14bdf36ae5510a6565af69e1db651d34e75d2846a363610b6669b8c78e404b2a  node-v6.7.0-sunos-x86.tar.xz
02b8ee1719a11b9ab22bef9279519efaaf31dd0d39cba4c3a1176ccda400b8d6  node-v6.7.0.tar.gz
ceb028324aab1ee8c7ea6a62026f036f3ea71f5ef5212593d0f833f999dd3be5  node-v6.7.0.tar.xz
2eb013b15c718ec2b26768e6a325e73571ed1d2028af411307a1bbd549f709ed  node-v6.7.0-win-x64.7z
59971f8ea9fb1ac4c55ca36303fe32a0714049cf8a10843dbb5924a5d0624659  node-v6.7.0-win-x64.zip
8b4448e56223aed8c316b67336fdd1d94aeee71033934fb6bc071a358c5c8719  node-v6.7.0-win-x86.7z
d75bebea562a1da0965adc8f94d2c5a38a22cfc57959d37c5c1aeec4ea9f1c83  node-v6.7.0-win-x86.zip
2185a16f8a32087b75708b08d7e482a14597765c41d6b3711a8e6ed3a3358213  node-v6.7.0-x64.msi
0801c283200ac263cc0ca014f5d8e0ee531e1ebec6e99645a0bdd04b996c1605  node-v6.7.0-x86.msi
7ab8714273a9a1fa464ded6b543b52b6fb56c7d2c3d08ebe312b1c1be72a1477  win-x64/node.exe
17c521d3b19886f826f818b9806bb4d2af4615d5bf850c257dcdaef897e8ccaa  win-x64/node.lib
fa2f32b9f8ac97d26bb58da59c8a7299de5bd9f25b8879f8787ecd0ffbd36c3b  win-x64/node_pdb.7z
815d202704373b9894c5dc113d2a2812be5e73431f8061707e0fd012cbc0b8cc  win-x64/node_pdb.zip
a2e58867917250e013a49c4210b36aba04715159a71edcfb510c6225e3dab184  win-x86/node.exe
641503fd3d41c1bc04a95ee38e6dc2ffd9c9e5a35b3f5bfecb25965c963f2d17  win-x86/node.lib
36265c44782a8456b289c4776bf5de5ed648982f2b8dc97e17acd76258e249cf  win-x86/node_pdb.7z
2d8a25ba8e212715050ee03e4b0b9f547163ffaeb75288c9508a06e469677ff6  win-x86/node_pdb.zip
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQIcBAEBCgAGBQJX6xF5AAoJELY7U1pMIGypw8sQAM0o8jAf5AlM3apyFJIm8q3P
8z7LsyOm/gX04h6U4xONVybx0uxqkoCs/Bk9JSJdxdc9qMM4FLxbf9W3se61FZQa
fYva3cXiAm/riUxO5vbghBNzKgE8aLFeOiuEIL5c+UzaxjFs8eY6oRfqYN87jNcB
95T3krvYGY9pA39Cyr1mBbCJq8AdjcM/ve6wqcjQDGswZF5Yq+yd94Z1qzCWzB2u
8yLcLaaoyVy2BvFg/11XgK9xK7w1KpxHK+jIzVVDE9dVoQc1pcQQZR72mYVIQFUt
jCJ69T5Usnil1ucswmfk7d1vvX1NdIawaol6AjEErO1APZsVew+TCJyvwq4uLAA2
kvgiVF/8Pe3ZdF1x9+vWz1JvEXpmehOlJ9fRv3bZn20W3/GIeS5NA+AgJrr6H65D
Trv6juvBceu2wGeBer8XCzql+9Pk4k87vARcExEKxsOU57lZ4mgaX5aMfTaNtTnp
zm5+ajGNnEZ4tjR91do6JXMF8/5MHmP93vFOwsrANabBe4sjd3u3BIbAVlkS74z0
bLZeo2dM18p3RdDw2Szo5jTSjuIhCV+5wNKxLoNjLSoYC6fSwAod+FuCXoWZZi6/
1eF4uFXik9m3ifInj6KKjCfKql8Rh6siHu2AsOjxaE/UyKY27HpXbtWpIhvM4Ht5
A0X+c5AUaeTAxt30L2PG
=+Moe
-----END PGP SIGNATURE-----

2016-09-25

articles

2016년 9월, 모든 활성 릴리스 라인의 보안 업데이트

작성자: Rod Vagg
원문: Security updates for all active release lines, September 2016
번역: Haeyeon Lucy Kang

Node.js 프로젝트는 진행 중인 모든 릴리스 라인의 몇 가지 보안상 결함을 패치하기 위한 업데이트를 계획했습니다. 이 결함은 Node.js의 특정 이슈뿐만 아니라 OpenSSL 프로젝트로부터 발표된 것도 포함됩니다. 이 업데이트는 치명적이진 않지만, 릴리스가 출시되는 대로 모든 Node.js를 업그레이드 하시길 권장합니다.

릴리스는 UTC 기준 2016년 9월 27일 화요일(미국 정오) 저녁이나 그 직후에 출시될 예정입니다.

이 릴리스에 포함되는 일부 패치는 Node.js의 호환성이 깨지는 API 변화로 주 버전을 올려야 합니다. 하지만, 저희 보안 절차에 따라, 이 변경사항은 부 버전 (x.y.z 중 y)을 올리며, v0.10과 v0.12 릴리스는 수 버전을 올려 배포할 것입니다.

릴리스가 예상되는 버전 넘버는 다음과 같습니다.

Node.js v6.7.0(현재 버전)
Node.js v4.6.0(LTS “Argon”)
Node.js v0.12.16(유지보수 버전)
Node.js v0.10.46(유지보수 버전)

추가 사항:

LTS 스케줄에 따라, Node.js v0.10 버전을 위한 지원은 10월에 중단됩니다. 그러므로, 이 업데이트는 Node.js v0.10 버전의 마지막 릴리스가 될 것입니다. 아직 프로덕션에서 v0.10 버전을 사용 중이라면, 가능한 빨리 v4(LTS “Argon”)나 v6(10월에 발표될 LTS)로 변경하시길 바랍니다.
보안 릴리스 절차에 따라, 이 업데이트 중 LTS 버전과 유지보수 버전(v4, v0.12, v0.10)에 적용되는 사항은 보안과 관련되거나 사용자에게 최대한의 안정성을 제공하기 위한 중대한 수정 사항만으로 제한할 것입니다.

Node.js 특정 보안 결함

이번 릴리스에는 최근의 OpenSSL 릴리스와는 관련이 없는 수정사항을 포함합니다. 다음 사항이 포함됩니다.

모든 Node.js 버전에 영향을 주는 TLS 인증서의 프로세스에 관련된 높은 심각성의 결함
모든 Node.js 버전에 영향을 주는 낮은 심각성의 Windows 네이티브 코드(원시 코드) 주입
모든 Node.js 버전에 영향을 주는 낮은 심각성의 HTTP 검증 오류

개선된 취약성에 관한 전면 발표는 모든 릴리스가 다운로드 가능해지면 제공될 예정입니다.

9월 OpenSSL 릴리스

OpenSSL 프로젝트는 Node.js v4 버전과 그 위의 버전에 포함된 1.0.2i 버전과 Node.js v0.10 버전과 v0.12 버전에 보함된 1.0.1u 버전의 전반적인 유효성을 발표했습니다. 저희 암호화 팀(Shigeki Ohtsu, Fedor Indutny, Ben Noordhuis)은 Node.js에 줄 영향을 알아내기 위해 OpenSSL 릴리스에서 제기된 결함 분석을 진행하고 있습니다. 분석 결과는 아래를 참고하십시오.

CVE-2016-6304: OCSP(온라인 인증서 상태 프로토콜) 상태 요청 연장으로 인한 무한 메모리 증가

악성 클라이언트가 서버 메모리를 소모시켜, 한 세션에 매우 많은 OCSP 상태 요청을 보내 DoS(서비스 거부 공격)를 유발합니다.
이 결함은 DoS 공격의 용이성과 TLS를 사용하는 Node.js 서버가 취약하여 높은 심각성으로 분류되었습니다.
분석 결과: Node.js의 모든 버전은 이 취약점에 영향을 받습니다.

CVE-2016-6305: 빈 기록에 걸려 있는 SSL_peek()

OpenSSL 1.1.0 SSL/TLS가 SSL_peek()로 요청을 보내는 동안 피어가 빈 기록을 보낼 때 걸려있습니다.
Node.js는 아직 OpenSSL 1.1.0에 의존하고 있지 않으므로 이 결함에 영향을 받지 않습니다.
분석 결과: Node.js의 모든 버전은 이 취약점에 영향 받지 않습니다.

CVE-2016-2183: SWEET32 제어/완화

SWEET32는 64비트 사이즈의 블럭을 이용하는 오래된 블럭 사이퍼 알고리즘에 대한 새로운 공격입니다.
이를 완화하기 위해, OpenSSL은 DES 기반 사이퍼를 HIGH 그룹에서 MEDIUM그룹으로 옮겼습니다. Node.js는 기본 스위트에 MEDIUM그룹은 제외하고, HIGH 그룹은 포함하여, 영향을 받는 사이퍼는 기본 스위트를 사용하지 않는 이상 포함되지 않습니다. Node의 기본 TLS 사이퍼 스위트는 API 문서에서 확인하실 수 있습니다.
분석 결과: Node.js의 모든 버전은 이 취약점에 영향을 받습니다.

CVE-2016-6303: MDC2_Update()에서 OOB 쓰기 오류

특정 상황에 MDC2_Update()에서 OOB(대역 외) 에러를 초래하는 오버플로가 발생할 수 있습니다. 이 공격은 OOB 에러를 일으키기 위해 필요한 데이터의 사이즈 때문에 대부분의 플랫폼에서는 적용되지 않습니다.
Node.js는 이 결함에 영향을 받지만 이 에러를 이용하는 것의 비현실적인 부분과 MDC-2의 매우 낮은 이용 실태로, Node.js 이용자에게 매우 낮은 심각성으로 간주됩니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향을 받습니다.

CVE-2016-6302: 잘못된 SHA512 티켓 DoS 공격

서버가 TLS 세션 티켓 HMAC에 SHA512를 이용한다면, 잘못된 티켓을 받아 충돌하여 DoS(서비스 거부) 공격에 취약할 수 있습니다.
Node.js는 세션 티켓에 SHA512를 사용하지 않으므로 이 결함에 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-2182: BN_bn2dec()에서 OOB 쓰기 오류

애플리케이션이 매우 큰 BIGNUM과 함께 BN_bn2dec() 함수를 사용했을 때 OOB(대역 외) 에러가 발생할 수 있습니다. TLS는 기록의 한도가 구문 분석되기 전 크기가 큰 인증서를 거부를 하므로 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-2180: TS_OBJ_print_bio()에서 OOB 읽기 오류

OOB(대역 외) 읽기 오류가 TS_OBJ_print_bio() 함수를 통해 큰 개체 ID(OID)가 존재할 때 발생할 수 있습니다.
Node.js는 OpenSSL의 타임스탬프 권한(Time Stamp Authority)을 사용하지 않으므로 이 결함에 영향 받지 않는 것으로 보입니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-2177: 포인터 산술의 정의되지 않은 행동

이 프로그래밍 결함은 포스트 https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/에 설명되어 있습니다.
Node.js 사용자가 이 결함에 직접적인 영향을 받기 어려울 것으로 보입니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-2178: DSA 서명에 시간 플레그 상수가 보전되지 않음

OpenSSL DSA 구현에 결함은 특정 작업에 따르는 비상수 시간 코드 경로를 의미합니다. 이 결함은 공격자가 개인 DSA 키를 복구하기 충분할 캐시 타이밍 공격을 통해 증명할 수 있습니다.
DSA는 매우 드물게 이용되기 때문에 이 공격을 이용하기에 어려움이 있으므로 이 결함은 Node.js 사용자게 매우 낮은 심각성입니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향을 받습니다.

CVE-2016-2179: DTLS 버퍼 메시지 DoS

DTLS 연결 중에 핸드쉐이크(handshake) 메시지가 비정상적으로 전달이 될 경우, OpenSSL이 아직 프로세스할 준비가 안 된 메시지들은 나중에 쓰기 위해 버퍼됩니다. 이는 메모리를 소진해 DoS(서비스 거부 공격)를 초래하도록 이용될 수 있습니다.
Node.js는 DTLS를 지원하지 않으므로, 사용자들은 이 결함에 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-2179: DTLS 재생방지(Replay Protection) DoS

DTLS 재생 공격 방지 장치에 있는 이 결함은 공격자가 서버가 DTLS 연결에 평범한 패킷을 떨어트리도록 만들 수 있도록 할 수 있으며, 결과적으로 연결에 DoS를 초래할 수 있습니다.
Node.js는 DTLS를 지원하지 않으므로, 이용자는 이 결함에는 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-6306: 인증서 메시지 OOB 읽기 오류

사라진 메시지 길이를 확인할 때 할당된 버퍼보다 최대 2바이트 정도의 OOB(대역 외) 읽기 오류가 생길 수 있습니다. 이론적인 DoS 위험이 있습니다. 이는 클라이언트와 서버 중 클라이언트 인증을 사용하는 쪽에만 영향을 줍니다.
Node.js는 이 낮은 심각성의 결함에 영향 받습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받습니다.

CVE-2016-6307: tls_get_message_header()의 과대 메모리 할당

OpenSSL 1.1.0 버전의 과대 메모리 할당은 TLS 헤더의 길이를 조작하여 만들 수 있습니다.
Node.js는 OpenSSL 1.1.0 버전에 아직 의존하지 않아 이 결함에 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

CVE-2016-6308: dtls1_preprocess_fragment()의 과대 메모리 할당

이 결함은 CVE-2016-6307의 결함과 비슷하지만 DTLS에 영향을 줍니다.
Node.js는 OpenSSL 1.1.0 버전에 아직 의존하지 않고, DTLS를 도입하지 않아, 이 결함에 영향을 받지 않습니다.
분석 결과: 모든 버전의 Node.js는 이 취약점에 영향 받지 않습니다.

연락처와 차기 업데이트

정보 갱신을 위해 nodejs-sec 구글 그룹(https://groups.google.com/forum/#!forum/nodejs-sec)과 릴리스 발표를 위한 Node.js 웹사이트(https://nodejs.org/en/blog/)를 확인 해주세요.

현재 버전의 Node.js 보안 정책은 https://nodejs.org/en/security/에서 보실 수 있습니다.

Node.js의 취약점을 제보하고 싶다면 security@nodejs.org로 연락해주세요.

보안 취약점, Node.js 보안 관련 릴리스, nodejs GitHub 조직내의 유지보수 되고 있는 프로젝트의 최신 상태를 위해 적은 양으로 통지만 하는 nodejs-sec 메일링 리스트 https://groups.google.com/forum/#!forum/nodejs-sec를 구독해 주세요.