중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.
주요 변경 사항
- http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다. - http-parser: 1.0 버전에서 1.1 버전으로 업그레이드 했습니다.
- openssl: 1.0.1q 버전에서 1.0.1r 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다. - src:
- 특정 CVE 수정 사항을 선택적으로 되돌리는
--security-revert={cvenum}명령행 플래그를 새롭게 도입했습니다. --security-revert=CVE-2016-2216를 사용하면 CVE-2016-2216에 대한 수정 사항만 선택적으로 되돌릴 수 있습니다.
- 특정 CVE 수정 사항을 선택적으로 되돌리는
- build:
- 0.10.42 버전부터 v0.10 빌드를 nodejs.org에서 xz 방식으로 압축된 tar 파일로 받을 수 있습니다.
- 0.10.42 버전부터 v0.10 빌드에 해당하는 headers.tar.gz 파일을 nodejs.org에서 받을 수 있습니다. 이 파일을 사용하려면 node-gyp가 업데이트 되어야 합니다.
Commits
- [fdc332183e] - build: enable xz compressed tarballs where possible (Rod Vagg) https://github.com/nodejs/node/pull/4894
- [2d35b421b5] - deps: upgrade openssl sources to 1.0.1r (Shigeki Ohtsu) https://github.com/joyent/node/pull/25368
- [b31c0f3ea4] - deps: update http-parser to version 1.1 (James M Snell)
- [616ec1d6b0] - doc: clarify v0.10.41 openssl tls security impact (Rod Vagg) https://github.com/nodejs/node/pull/4153
- [ccb3c2377c] - http: strictly forbid invalid characters from headers (James M Snell)
- [f0af0d1f96] - src: avoid compiler warning in node_revert.cc (James M Snell)
- [df80e856c6] - src: add --security-revert command line flag (James M Snell)
- [ff58dcdd74] - tools: backport tools/install.py for headers (Richard Lau) https://github.com/nodejs/node/pull/4149
Windows 32-bit Installer: https://nodejs.org/dist/v0.10.42/node-v0.10.42-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v0.10.42/x64/node-v0.10.42-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v0.10.42/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v0.10.42/x64/node.exe
Mac OS X Universal Installer: https://nodejs.org/dist/v0.10.42/node-v0.10.42.pkg
Mac OS X 64-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-darwin-x64.tar.gz
Mac OS X 32-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-darwin-x86.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-linux-x86.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-linux-x64.tar.gz
SmartOS 32-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-sunos-x86.tar.gz
SmartOS 64-bit Binary: https://nodejs.org/dist/v0.10.42/node-v0.10.42-sunos-x64.tar.gz
Source Code: https://nodejs.org/dist/v0.10.42/node-v0.10.42.tar.gz
Other release files: https://nodejs.org/dist/v0.10.42/
Documentation: https://nodejs.org/docs/v0.10.42/api/
Shasums (GPG signing hash: SHA512, file hash: SHA256):
1 | ------BEGIN PGP SIGNED MESSAGE----- |