OpenSSL 보안 릴리스는 Node.js 보안 릴리스를 필요로 하지 않습니다.

요약

2019년 9월 10일의 OpenSSL 보안 릴리스는 Node.js에 영향을 미치지 않습니다.

분석

보안 권고에 대한 우리의 평가는 아래와 같습니다.

  • ECDSA 원격 소요 시간 분석 공격(timing attack) (CVE-2019-1547):
      영향을 받지 않았습니다. Node는 ECDSA 서명에 대해 명명된 곡선만 지원합니다.

  • 분기(fork) 보호 (CVE-2019-1549):
    영향을 받지 않았습니다. Node.js 항상 fork() 호출 후에 exec()을 호출하므로
    분기된 프로세스에서 PRNG 상태를 복제하지 않습니다.

  • PKCS7_dataDecodeCMS_decrypt_set1_pkey에서의 패딩 오라클 (CVE-2019-1563):
    영향을 받지 않았습니다. Node는 PCKS7 및 CMS를 지원하지 않습니다.

이 평가를 바탕으로 OpenSSL 업데이트는 비보안 패치 업데이트로 취급되며,
지원되는 릴리스 라인에 대해 정기적으로 예약된 업데이트로 제공됩니다.

감사의 말

OpenSSL 보안 권고를 신속하게 분석해 준 Shigeki Ohtsu에게 감사드립니다.

연락처 및 향후 업데이트

현재 Node.js의 보안 정책과 Node.js의 취약점 보고를 위한 방법에 대한 정보는
https://nodejs.org/en/security/에서 볼 수 있습니다.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.