Meltdown과 Spectre - Node.js의 영향

요약

프로젝트 제로에서 최근 큰 시선을 끈 새로운 공격방법을 공개했습니다.
https://googleprojectzero.blogspot.ca/2018/01/reading-privileged-memory-with-side.html

이러한 공격이 Node.js가 실행되는 시스템에 주는 위험은 Node.js 런타임 자체가 아니라
Node.js 애플리케이션이 실행되는 시스템에 있습니다. Node.js의 신뢰 모델은 신뢰하는 코드만
실행한다고 가정하고 Node.js 런타임 내에서 실행되는 코드 간에 어떠한 구분도 제공하지 않습니다.
그러므로 Node.js에서 공격을 실행할 수 있는 신뢰할 수 없는 코드는 이러한 새로운 공격방법의
가능성보다 훨씬 더 심각한 방법으로 Node.js 애플리케이션 실행에 영향을 줄 수 있습니다.

이것이 Node.js 애플리케이션을 실행할 때 이러한 새로운 공격으로부터 보호할 필요가
없다는 의미는 아닙니다. 공격자가 패치되지 않은 OS에서 악성 코드를
실행한다면(JavaScript를 사용하든지 다른 방법을 이용하든지) 메모리나 접근하면
안 되는 데이터에 접근할 수 있을 것입니다. 이러한 공격을 막으려면 운영체제에
보안 패치를 적용하세요. Node.js 런타임을 업데이트할 필요는 없습니다.

연락처와 차후 업데이트

현재 Node.js 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.

Node.js의 취약점을 보고하려면 security@nodejs.org로 연락해주세요.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.