(2021년 4월 6일 업데이트) 보안 릴리스를 사용할 수 있습니다.
다음 이슈에 대해 v10.x, v12.x, v14.x, v15.x 버전의 Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.
OpenSSL - X509_V_FLAG_X509_STRICT를 사용할 때 CA 인증서 검사의 우회(높음) (CVE-2021-3450)
이 OpenSSL 취약점은 Node.js에서 악용될 수 있습니다.
자세한 내용은 https://www.openssl.org/news/secadv/20210325.txt에서 볼 수 있습니다.
영향받는 버전:
- 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전
OpenSSL - signature_algorithms 처리 중 NULL 포인터 역참조(높음) (CVE-2021-3449)
이 OpenSSL 취약점은 Node.js에서 악용될 수 있습니다.
자세한 내용은 https://www.openssl.org/news/secadv/20210325.txt에서 볼 수 있습니다.
영향받는 버전:
- 15.x, 14.x, 12.x, 10.x 릴리스 라인의 모든 버전
npm 업그레이드 - 프로토타입 오염을 고치려고 y18n을 업데이트함(높음) (CVE-2020-7774)
y18n npm 모듈의 취약점으로 프로토타입을 오염시켜서 악용될 수 있습니다.
자세한 내용은 https://github.com/advisories/GHSA-c4w7-xm78-47vh에서 볼 수 있습니다.
영향받는 버전:
- 14.x, 12.x, 10.x 릴리스 라인의 모든 버전
다운로드와 릴리스 세부 사항
요약
Node.js 프로젝트는 2021년 4월 6일 화요일쯤 모든 지원 중인 릴리스 라인의 새 버전을 릴리스할 예정입니다.
- 심각도가 높은 이슈 세 개
영향
Node.js 15.x 릴리스 라인은 심각도가 높은 이슈 두 개에 취약합니다.
Node.js 14.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.
Node.js 12.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.
Node.js 10.x 릴리스 라인은 심각도가 높은 이슈 세 개에 취약합니다.
릴리스 시기
릴리스는 2021년 4월 6일 화요일쯤 사용 가능할 예정입니다.
연락처 및 향후 업데이트
현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다. Node.js의 취약점을 보고하고 싶다면 https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면 https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는 nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.