이 릴리스는 보안 업데이트를 포함하고 있습니다. OpenSSL 1.0.1s는 Node.js에 영향을 미치는 심각도가 낮은(low-severity) 몇 가지 결함을 수정합니다. 자세한 내용은 영향 평가를 참고하세요.
주요 변경 사항
- http_parser: http-parser를 1.2로 업데이트하여 허용 가능한 헤더 문자에 의도치 않게 제한이 생기던 문제를 수정했습니다. (James M Snell) nodejs/node#5242
- domains:
- 에러가 발생한 도메인에 에러 핸들러가 설정되어 있지 않고
process에uncaughtException이벤트 리스너가 설정되었을 때process객체에uncaughtException이벤트가 발생하는 대신 예외가 던져지는(throw) 것 때문에 프로세스가 종료되던 문제를 수정했습니다. (Julien Gilli) nodejs/node#3887 - 에러 핸들러가 없는 도메인에서 에러가 발생하고
--abort-on-uncaught-exception이 사용됐을 때 적절한 함수 호출에서 프로세스가 종료되지 않던 이슈가 수정됐습니다. (Julien Gilli) nodejs/node#3887
- 에러가 발생한 도메인에 에러 핸들러가 설정되어 있지 않고
- openssl: 1.0.1r에서 1.0.1s로 업그레이드 했습니다. (Ben Noordhuis) nodejs/node#5508
- DoS나 메모리 변조(memory corruption) 공격에 사용될 수 있는 형식이 올바르지 않은(malformed) DSA 키를 파싱할 때 발생하는 이중 해제(double free) 문제를 수정합니다. 실제 공격에 이 결함이 악용되기는 매우 어려울 것이므로 이 결함은 Node.js 사용자에게 낮은 심각도로 판단됩니다. 더 자세한 정보는 https://www.openssl.org/news/vulnerabilities.html#2016-0705에서 볼 수 있습니다.
- 내부의
BN_hex2bn()와BN_dec2bn()함수와 관련 있는 매우 드문 사례에서 메모리 변조를 일으킬 수 있는 결함을 수정했습니다. Node.js는 이 함수를 사용하는 코드를 호출하지 않으므로 이 결함을 사용한 실제적인 Node.js 공격은 불가능할 것으로 보입니다. 더 자세한 정보는 https://www.openssl.org/news/vulnerabilities.html#2016-0797에서 볼 수 있습니다. - CacheBleed 공격(https://ssrg.nicta.com.au/projects/TS/cachebleed/)을 가능하게 할 수 있는 결함을 수정했습니다. 이 결함은 공격자에게 전체 RSA 비공개 키를 복구할 수 있는 부채널 공격(side-channel attacks)을 허용합니다. 이 결함은 인텔 샌디 브리지(혹은 그 이전 버전) 마이크로아키텍처에서 하이퍼 스레딩을 사용할 때만 영향을 미칩니다. 하스웰을 비롯한 새로운 아키텍처에서는 영향이 없습니다. 더 자세한 정보는 https://www.openssl.org/news/vulnerabilities.html#2016-0702에서 볼 수 있습니다.
- SSLv2를 더 이상 지원하지 않습니다. 따라서
--enable-ssl2명령행 옵션을 사용하면 에러가 발생합니다. SSLv2를 사용할 수 있는 서버는 클라이언트가 SSLv2를 사용하지 않을 때도 DROWN 공격(https://drownattack.com/)에 의해 취약점이 발생합니다. 널리 알려진 사실에 따르면 SSLv2 프로토콜은 허용할 수 없는 문제가 있어서 지원을 중단해야 합니다. 더 자세한 정보는 https://www.openssl.org/news/vulnerabilities.html#2016-0800에서 볼 수 있습니다.
Commits:
- [
3123e9a6df] - 2016-03-04 Version 0.10.43 (Maintenance) Release (Rod Vagg) #5404 - [
164157abbb] - build: update Node.js logo on OSX installer (Rod Vagg) #5401 - [
f8cb0dcf67] - crypto,tls: remove SSLv2 support (Ben Noordhuis) #5529 - [
42ded2a590] - deps: upgrade openssl to 1.0.1s (Ben Noordhuis) #5508 - [
1e45a6111c] - deps: update http-parser to version 1.2 (James M Snell) #5242 - [
6db377b2f4] - doc: remove SSLv2 descriptions (Shigeki Ohtsu) #5541 - [
563c359f5c] - domains: fix handling of uncaught exceptions (Julien Gilli) #3887 - [
e483f3fd26] - test: fix hanging http obstext test (Ben Noordhuis) #5511
Windows 32-bit Installer: https://nodejs.org/dist/v0.10.43/node-v0.10.43-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v0.10.43/x64/node-v0.10.43-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v0.10.43/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v0.10.43/x64/node.exe
Mac OS X Universal Installer: https://nodejs.org/dist/v0.10.43/node-v0.10.43.pkg
Mac OS X 64-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-darwin-x64.tar.gz
Mac OS X 32-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-darwin-x86.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-linux-x86.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-linux-x64.tar.gz
SunOS 32-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-sunos-x86.tar.gz
SunOS 64-bit Binary: https://nodejs.org/dist/v0.10.43/node-v0.10.43-sunos-x64.tar.gz
Source Code: https://nodejs.org/dist/v0.10.43/node-v0.10.43.tar.gz
Other release files: https://nodejs.org/dist/v0.10.43/
Documentation: https://nodejs.org/docs/v0.10.43/api/
Shasums (GPG signing hash: SHA512, file hash: SHA256):
1 | -----BEGIN PGP SIGNED MESSAGE----- |