(2020년 11월 16일 업데이트됨) 보안 릴리스가 나왔습니다.
다음 이슈에 관한 v12.x, v14.x, v15.x Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.
DNS 요청을 통한 서비스 거부(CVE-2020-8277)
공격자가 선택한 호스트에 대한 DNS 요청을 유발할 수 있게 하는 Node.js 애플리케이션은 더 많은 응답을 가진 DNS 레코드를 처리하게 해서 서비스 거부를 일으킬 수 있습니다.
영향받는 버전:
- 12.x 릴리스 라인의 12.16.3 이상의 버전
- 14.x 릴리스 라인의 14.13.0 이상의 버전
- 15.x 릴리스 라인의 모든 버전
다운로드와 릴리스 상세 내용
요약
Node.js 프로젝트는 2020년 11월 16일 월요일 또는 그 직후에 지원하는 12.x, 14.x, 15.x의 새 버전을 릴리스할 것입니다.
이번 릴리스는 다음을 수정합니다.
- 높은 심각도의 이슈 1개
영향
Node.js 15.x 릴리스 라인은 높은 심각도 이슈 하나에 취약합니다.
Node.js 14.x 릴리스 라인은 높은 심각도 이슈 하나에 취약합니다.
Node.js 12.x 릴리스 라인은 높은 심각도 이슈 하나에 취약합니다.
릴리스 시기
2020년 11월 16일 월요일 또는 그 직후 릴리스 될 것입니다.
연락처 및 향후 업데이트
현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하고 싶다면
https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는
nodejs GitHub 조직에서 관리하고 있습니다.