2021년 4월 보안 릴리스

(2021년 4월 6일 업데이트) 보안 릴리스를 사용할 수 있습니다.

다음 이슈에 대해 v10.x, v12.x, v14.x, v15.x 버전의 Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.

OpenSSL - X509_V_FLAG_X509_STRICT를 사용할 때 CA 인증서 검사의 우회(높음) (CVE-2021-3450)

이 OpenSSL 취약점은 Node.js에서 악용될 수 있습니다.
자세한 내용은 https://www.openssl.org/news/secadv/20210325.txt에서 볼 수 있습니다.

영향받는 버전:

  • 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전

OpenSSL - signature_algorithms 처리 중 NULL 포인터 역참조(높음) (CVE-2021-3449)

이 OpenSSL 취약점은 Node.js에서 악용될 수 있습니다.
자세한 내용은 https://www.openssl.org/news/secadv/20210325.txt에서 볼 수 있습니다.

영향받는 버전:

  • 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전

npm 업그레이드 - 프로토타입 오염을 고치려고 y18n을 업데이트함(높음) (CVE-2020-7774)

y18n npm 모듈의 취약점으로 프로토타입을 오염시켜서 악용될 수 있습니다.
자세한 내용은 https://github.com/advisories/GHSA-c4w7-xm78-47vh에서 볼 수 있습니다.

영향받는 버전:

  • 14.x, 12.x, 10.x 릴리스 라인의 모든 버전

다운로드와 릴리스 세부 사항


요약

Node.js 프로젝트는 2021년 4월 6일 화요일쯤 모든 지원 중인 릴리스 라인의 새 버전을 릴리스할 예정입니다.

  • 심각도가 높은 이슈 세 개

영향

Node.js 15.x 릴리스 라인은 심각도가 높은 이슈 두 개에 취약합니다.

Node.js 14.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.

Node.js 12.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.

Node.js 10.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.

릴리스 시기

릴리스는 2021년 4월 6일 화요일쯤 사용 가능할 예정입니다.

연락처 및 향후 업데이트

현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다. Node.js의 취약점을 보고하고 싶다면 https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면 https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는 nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.