보안 릴리스입니다. 모든 Node.js 사용자는 https://nodejs.org/en/blog/vulnerability/february-2019-security-releases/에 있는 보안 요약 문서에서 패치된 취약점의 자세한 사항을 확인하기 바랍니다.
이번 릴리스에는 다음 CVE의 수정사항이 포함되었습니다.
- Node.js: keep-alive HTTP 접속의 서비스 거부(CVE-2019-5739)
- Node.js: keep-alive 모드에서 Slowloris HTTP 서비스 거부(CVE-2019-5737)
- OpenSSL: 0바이트 레코드 패딩 오라클(CVE-2019-1559)
주요 변경사항
- deps: OpenSSL이 CVE-2019-1559 문제점을 수정한 1.0.2r 버전으로 업그레이드되었습니다. 특정 환경에서 TLS 서버가 유효하지 않은 패딩을 포함한 0바이트 레코드를 수신할 때, 유효하지 않은 MAC을 수신할 때와 다른 응답을 클라이언트로 보내도록 하는 문제가 있었습니다. 이는 암호화된 데이터를 대상으로 하는 패딩 오라클 공격의 기반이 될 수 있습니다.
- http:
- keep-alive 모드의 HTTP와 HTTPS 접속이 예정된 시간보다 더 길게 열린 채 비활성화 상태로 유지되는 문제를 방지하기 위해
server.keepAliveTimeout을 백포트했습니다. 앞서 언급한 문제는 서비스 거부(DoS)의 원인이 될 수 있습니다. (CVE-2019-5739 / Timur Shemsedinov, Matteo Collina) - keep-alive 모드의 접속에
server.headersTimeout으로 설정된 수신 타임아웃을 지속 적용하여 HTTP와 HTTPS 접속에 대한 “슬로로리스(Slowloris)” 공격을 예방했습니다. 이 문제는 Marco Pracucci(Voxnest)가 보고했습니다. (CVE-2019-5737 / Matteo Collina)
- keep-alive 모드의 HTTP와 HTTPS 접속이 예정된 시간보다 더 길게 열린 채 비활성화 상태로 유지되는 문제를 방지하기 위해
Commits
- [
b282c68ce8] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) nodejs/io.js#1836 - [
a80ef49dcf] - deps: fix asm build error of openssl in x86_win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
1d3c412101] - deps: fix openssl assembly error on ia32 win32 (Fedor Indutny) iojs/io.js#1389 - [
661fd61c3a] - deps: copy all openssl header files to include dir (Shigeki Ohtsu) - [
da12284235] - deps: upgrade openssl sources to 1.0.2r (Shigeki Ohtsu) - [
b13b4a9ffb] - http: prevent slowloris with keepalive connections (Matteo Collina) nodejs-private/node-private#162 - [
e9ae4aaaad] - http: fix timeout reset after keep-alive timeout (Alexey Orlenko) #13549 - [
f23b3b6bad] - (SEMVER-MINOR) http: destroy sockets after keepAliveTimeout (Timur Shemsedinov) #2534 - [
190894448b] - openssl: fix keypress requirement in apps on win32 (Shigeki Ohtsu) iojs/io.js#1389 - [
06a208d316] - test: refactor test-http-server-keep-alive-timeout (realwakka) #13448 - [
1c7fbdc53b] - test: improve test-https-server-keep-alive-timeout (Rich Trott) #13312
Windows 32-bit Installer: https://nodejs.org/dist/v6.17.0/node-v6.17.0-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v6.17.0/node-v6.17.0-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v6.17.0/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v6.17.0/win-x64/node.exe
macOS 64-bit Installer: https://nodejs.org/dist/v6.17.0/node-v6.17.0.pkg
macOS 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-darwin-x64.tar.gz
Linux 32-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-x86.tar.xz
Linux 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-ppc64le.tar.xz
Linux PPC BE 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-ppc64.tar.xz
Linux s390x 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-s390x.tar.xz
AIX 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-aix-ppc64.tar.gz
SmartOS 32-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-sunos-x86.tar.xz
SmartOS 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-sunos-x64.tar.xz
ARMv6 32-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-armv6l.tar.xz
ARMv7 32-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v6.17.0/node-v6.17.0-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v6.17.0/node-v6.17.0.tar.gz
Other release files: https://nodejs.org/dist/v6.17.0/
Documentation: https://nodejs.org/docs/v6.17.0/api/
SHASUMS
1 | -----BEGIN PGP SIGNED MESSAGE----- |