OpenSSL 보안 릴리스로 Node.js 보안 릴리스가 필요할 수 있습니다

요약

Node.js 프로젝트는 OpenSSL의 변경사항을 받아서 다음 주 초에 지원하는
릴리스 라인의 새 버전을 릴리스 할 수도 있습니다.
자세한 내용은 아래를 참고하세요.

OpenSSL

이전 주에 OpenSSL 프로젝트는 UTC 기준 9월 10일에 1.0.2t와 1.1.1d 버전을 릴리스할 계획이라고
발표했습니다.
이번 릴리스는 OpenSSL의 보안 정책
따라 “낮음” 심각도로 구분된 두 가지 보안 결함을 수정할 것입니다. “낮음” 심각도는 다음을 의미합니다.

… 이러한 이슈는 openssl 명령행 유틸리티에만 영향을 주거나 설정에는 영향을 줄 가능성이 거의 없습니다.

Node.js v8.x은 OpenSSL v1.0.2를 사용하고 Node.js v10.x와 v12.x는 모두 OpenSSL
v1.1.1을 사용하므로 모든 활성 릴리스 라인은 이번 업데이트의 영향을 받습니다.

엠바고 때문에 지금은 이 결함의 정확한 내용은 아직 나오지 않았고 Node.js 사용자에게 영향을
줄 것인지도 알지 못합니다.

Node.js의 영향도를 평가한 후 수정된 이슈로 Node.js 보안 릴리스가 바로 필요한지 일반적인
정기 업데이트에 포함해도 되는지 결정할 것입니다.

업데이트되는 내용은 nodejs-sec 구글 그룹을 참고하시기 바랍니다. OpenSSL 릴리스 후
24시간 이내에 릴리스 타이밍에 대한 결정사항을 올릴 예정이고 릴리스의 결함 상세 내용도 포함될 것입니다.
https://groups.google.com/forum/#!forum/nodejs-sec

연락처 및 향후 업데이트

현재 Node.js의 보안 정책과 Node.js의 취약점 보고를 위한 방법에 대한 정보는
https://nodejs.org/en/security/에서 볼 수 있습니다.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.