(2021년 2월 23일 업데이트) 보안 릴리스를 사용할 수 있습니다.
다음 이슈에 대해 v10.x, v12.x, v14.x, v15.x 버전의 Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.
HTTP2 'unknownProtocol’이 리소스 소진으로 인해 서비스 거부를 일으킵니다 (심각) (CVE-2021-22883)
'unknownProtocol’로 너무 많은 연결 시도가 이뤄질 때 영향받는 Node.js 버전은 서비스 거부 공격에
취약합니다. 이를 통해 파일 디스크립터가 유출될 수 있습니다. 시스템에 파일 디스크립터 제한이 설정되어
있다면 서버는 새로운 연결을 받을 수 없고 프로세스가 아무것도(예: 파일) 열지 못하도록 막을 것입니다.
파일 디스크립터 제한을 설정하지 않았다면 과도한 메모리 사용을 유발해 시스템
메모리 부족의 원인이 될 수 있습니다.
영향받는 버전:
- 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전
이 취약점을 보고해 준 OMICRON 일렉트로닉스에게 감사드립니다.
–inspect의 DNS 리바인딩 (CVE-2021-22884)
화이트리스트가 "localhost6"을 포함하고 있을 때 영향받는 Node.js 버전은 DNS 리바인딩 공격에
취약합니다. "localhost6"가 /etc/hosts에 없으면 DNS를 통해(네트워크를 통해) 처리되는 평범한
도메인일 뿐입니다. 공격자가 피해자의 DNS 서버를 제어하거나 응답을 속일 수 있으면 “localhost6”
도메인을 사용해서 DNS 리바인딩 보호장치를 건너뛸 수 있습니다. 공격자가 “localhost6” 도메인을
사용할 수 있으면 CVE-2018-7160에 나온 공격을 계속 사용할 수 있습니다.
영향받는 버전:
- 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전
이 취약점을 보고해 준 Vít Šesták에게 감사드립니다.
OpenSSL - CipherUpdate의 정수 오버플로 (CVE-2021-23840)
이는 Node.js에서 이용될 수 있는 OpenSSL의 취약점입니다.
자세한 내용은 https://www.openssl.org/news/secadv/20210216.txt에서 볼 수 있습니다.
영향받는 버전:
- 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전