중요한 보안 릴리스입니다. 모든 Node.js 사용자는 수정된 취약점에 대한 자세한 내용을 보안 릴리스 요약에서 확인하세요.
주요 변경사항
Semver 부 버전:
- openssl:
- 1.0.2i로 업그레이드, Node.js에 영향을 주는 몇몇 결함 CVE-2016-6304("OCSP 상태 요청이 무한 메모리 증가로 확장, 높은 심각도), CVE-2016-2183, CVE-2016-2178, CVE-2016-6306을 수정했습니다.(Shigeki Ohtsu) #8714
- 1.0.2j로 업그레이드, 1.0.2i에 포함된 CRL을 사용할 때 충돌하는 결함(CVE-2016-7052)을 수정했습니다.(Shigeki Ohtsu) #8786
- 동적 서드파티 엔진 모듈 지원을 제거했습니다. 공격자가 Node.js 런타임에 동적 엔진 모듈로 가장하여 악의적인 코드를 숨길 수 있습니다. Ahmed Zaki(Skype)가 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#73
- http: CVE-2016-5325 -
ServerResponse#writeHead()
의reason
인자의 허용된 문자를 올바르게 검증합니다. 응답 분리(response splitting) 공격의 가능성을 수정했습니다. 이 변경으로 HTTP 응답 설정에서throw
가 발생할 수 있습니다. 사용자는 이 부분에 try/catch를 적용하셔야 합니다. Evan Lucas, Romain Gaucher가 각각 처음 보고했습니다.(Evan Lucas) nodejs/node-private#60
Semver 수 버전:
- buffer:
Buffer.concat()
으로 생성된 새Buffer
객체에 원본Buffer
객체의 총 길이를 초과하는totalLength
파라미터를 넘길 때 초과된 바이트에 0를 채워넣습니다.(Сковорода Никита Андреевич) nodejs/node-private#64 - src: crypto.pbkdf2()에 빈 패스워드나 솔트를 넘겨 치명적인 오류를 일으킬 수 있는 회귀를 수정했습니다.(Rich Trott) #8572
- tls: CVE-2016-7099 - 올바르지 않은 와일드카드 인증 검증을 수정했습니다. TLS 서버가 자신의 호스트 이름에 대해 적절하지 않은
*.
와일드카드 검증 때문에 올바르지 않은 와일드 카드 인증을 할 수 있었습니다. Alexander Minozhenko, James Bunton(Atlassian)이 처음 보고했습니다.(Ben Noordhuis) nodejs/node-private#75 - v8: 얼려진 객체에 정규표현을 사용할 때 충돌이 일어나는 회귀를 수정했습니다.(Myles Borins) #8673
Commits
- [
8fb8c46303
] - buffer: zero-fill uninitialized bytes in .concat() (Сковорода Никита Андреевич) nodejs/node-private#64 - [
e5998c44b4
] - crypto: don’t build hardware engines (Ben Noordhuis) nodejs/node-private#73 - [
ed4cd2eebe
] - deps: cherry-pick 34880eb3dc from V8 upstream (Myles Borins) #8673 - [
f8ad0dc0e2
] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836 - [
9181def9d4
] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
2dee4af5c3
] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389 - [
4255dc82a9
] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8786 - [
c08d81df50
] - deps: upgrade openssl sources to 1.0.2j (Shigeki Ohtsu) #8786 - [
2573efc9df
] - deps: update openssl asm and asm_obsolete files (Shigeki Ohtsu) #8714 - [
67751f3d7e
] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836 - [
4382de338b
] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
cfa00611b0
] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389 - [
3e4ea603b3
] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) #8714 - [
8937fd0dbb
] - deps: upgrade openssl sources to 1.0.2i (Shigeki Ohtsu) #8714 - [
c0f13e56a2
] - http: check reason chars in writeHead (Evan Lucas) nodejs/node-private#60 - [
743f0c9164
] - lib: make tls.checkServerIdentity() more strict (Ben Noordhuis) nodejs/node-private#75 - [
38bed98a92
] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
a25fc3f715
] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
5902ba3989
] - src: Malloc/Calloc size 0 returns non-null pointer (Rich Trott) #8572 - [
a14d832884
] - test: remove openssl options of -no_(Shigeki Ohtsu) #8714
Windows 32-bit Installer: https://nodejs.org/dist/v6.7.0/node-v6.7.0-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v6.7.0/node-v6.7.0-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v6.7.0/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v6.7.0/win-x64/node.exe
Mac OS X 64-bit Installer: https://nodejs.org/dist/v6.7.0/node-v6.7.0.pkg
Mac OS X 64-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-darwin-x64.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-x86.tar.xz
Linux 64-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-ppc64le.tar.xz
SunOS 32-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-sunos-x86.tar.xz
SunOS 64-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-sunos-x64.tar.xz
ARMv6 32-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-armv6l.tar.xz
ARMv7 32-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v6.7.0/node-v6.7.0-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v6.7.0/node-v6.7.0.tar.gz
Other release files: https://nodejs.org/dist/v6.7.0/
Documentation: https://nodejs.org/docs/v6.7.0/api/
Shasums (GPG signing hash: SHA512, file hash: SHA256):
1 | -----BEGIN PGP SIGNED MESSAGE----- |