요약
2019년 9월 10일의 OpenSSL 보안 릴리스는 Node.js에 영향을 미치지 않습니다.
분석
보안 권고에 대한 우리의 평가는 아래와 같습니다.
-
ECDSA 원격 소요 시간 분석 공격(timing attack) (CVE-2019-1547):
영향을 받지 않았습니다. Node는 ECDSA 서명에 대해 명명된 곡선만 지원합니다. -
분기(fork) 보호 (CVE-2019-1549):
영향을 받지 않았습니다. Node.js 항상fork()
호출 후에exec()
을 호출하므로
분기된 프로세스에서 PRNG 상태를 복제하지 않습니다. -
PKCS7_dataDecode
및CMS_decrypt_set1_pkey
에서의 패딩 오라클 (CVE-2019-1563):
영향을 받지 않았습니다. Node는 PCKS7 및 CMS를 지원하지 않습니다.
이 평가를 바탕으로 OpenSSL 업데이트는 비보안 패치 업데이트로 취급되며,
지원되는 릴리스 라인에 대해 정기적으로 예약된 업데이트로 제공됩니다.
감사의 말
OpenSSL 보안 권고를 신속하게 분석해 준 Shigeki Ohtsu에게 감사드립니다.
연락처 및 향후 업데이트
현재 Node.js의 보안 정책과 Node.js의 취약점 보고를 위한 방법에 대한 정보는
https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.