수정된 내용
OpenSSL 프로젝트는 OpenSSL 1.1.1g에서 수정된 이슈를 공개했습니다.
이 릴리스에서는 Node.js(혹은 의존 라이브러리)가 호출하지 않는
함수만 영향을 받기 때문에 Node.js에는 영향을 주지 않습니다.
Node.js 보안 릴리스는 필요치 않습니다.
자세한 내용은 OpenSSL 공지를 보세요.
이전 Node.js 공지는 아래에서 볼 수 있습니다.
요약
Node.js 프로젝트는 OpenSSL에서 수정된 내용을 통합하려고
다음 주 초에 지원하는 모든 릴리스 라인의 새 버전을 릴리스 할 수 있습니다.
자세한 내용을 아래를 참고하세요.
OpenSSL
이번 주 OpenSSL 프로젝트는 4월 21일 1.1.1g 버전을 릴리스할 것이라고
발표했습니다.
OpenSSL의 보안 정책에 따라
“높음” 심각도의 이슈가 이번 릴리스에 수정되는 가장 높은 심각도의 이슈입니다.
“높음” 심각도는 다음을 의미합니다.
… 일반적인 구성에는 적게 영향을 주거나 이용될 가능성이
작아 보이기 때문에 심각함보다는 낮은 위험으로 판단됩니다.
지원하는 모든 Node.js 버전이 OpenSSL v1.1.1을 사용하고 있으므로
활성 릴리스 라인인 v10.x, v12.x, v13.x, v14.x가 모두 이번 업데이트의
영향을 받습니다(우연히 14.0.0는 4월 21일에 릴리스 되었습니다).
지금은 엠바고 때문에 이 결함의 정확한 내용을 알 수 없고
Node.js 사용자에게 주는 영향도 알 수 없습니다.
Node.js에서의 영향을 평가한 후 Node.js의 보안 릴리스를 바로 해야
하는지 정규 릴리스 일정에 포함해야 하는지를 결정할 것입니다.
OpenSSL 릴리스 후 24시간 이내에 릴리스 시기에 관한 결정과 최종
릴리스의 자세한 결함을 포함한 최신 정보는 nodejs-sec Google 그룹을
보기 바랍니다. https://groups.google.com/forum/#!forum/nodejs-sec
연락처 및 향후 업데이트
Node.js의 취약점을 보고하는 방법을 포함해서 현재 Node.js의 보안 정책은
https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.