2021년 7월 보안 릴리스

(2021년 7월 1일 업데이트) 보안 릴리스를 사용할 수 있습니다.

다음 이슈에 대해 v16.x, v14.x, v12.x 버전의 Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.

libuv 업그레이드 - 범위를 벗어난 읽기(중간) (CVE-2021-22918)

Node.js는 문자열을 ASCII로 변환하는데 사용하는 libuv의 uv__idna_toascii() 함수에서
범위를 벗어난 읽기에 취약합니다. 이 함수는 Node dns 모듈의 lookup() 함수에서 호출하고 정보를
노출하거나 크래시가 발생할 수 있습니다.

자세한 내용은 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22918에서
볼 수 있습니다.

영향받는 버전:

  • 16.x, 14.x, 12.x 릴리스 라인의 모든 버전

Windows 설치 프로그램 - Node 설치 프로그램의 로컬 권한 확대(중간) (CVE-2021-22921)

Node.js는 Windows 플랫폼에서 특정 상황에 로컬 권한 확대 공격에 취약합니다. 더 자세히는
설치 디렉터리의 부적절한 권한 설정으로 공격자가 확대 공격인 PATH와 DLL 하이재킹 공격을 할 수 있습니다.

자세한 내용은 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22921에서
볼 수 있습니다.

영향받는 버전:

  • 16.x, 14.x, 12.x 릴리스 라인의 모든 버전

npm 업그레이드 - ssri 정규표현식 서비스 거부(ReDoS)(높음) (CVE-2021-27290)

서비스 거부 공격에 취약할 수 있는 ssri npm 모듈의 취약성입니다.

자세한 내용은 https://github.com/advisories/GHSA-vx3p-948g-6vhq에서
볼 수 있습니다.

영향받는 버전:

  • 12.x 릴리스 라인의 모든 버전
  • 최신 npm 6 업데이트를 포함한 14.17.0보다 이전에 나온 14.x 릴리스 라인의 모든 버전

npm 업그레이드 - hosted-git-info 정규표현식 서비스 거부(ReDoS)(중간) (CVE-2021-23362)

서비스 거부 공격에 취약할 수 있는 hosted-git-info npm 모듈의 취약성입니다.

자세한 내용은 https://nvd.nist.gov/vuln/detail/CVE-2021-23362에서
볼 수 있습니다.

영향받는 버전:

  • 12.x 릴리스 라인의 모든 버전
  • 최신 npm 6 업데이트를 포함한 14.17.0보다 이전에 나온 14.x 릴리스 라인의 모든 버전

다운로드와 릴리스 상세 내용


요약

Node.js 프로젝트는 2021년 7월 1일 목요일쯤 지원하는 모들 릴리스 라인의 최신 버전을 릴리스할 것입니다.

  • 높은 심각도의 이슈 하나와 중간 심각도의 이슈 3개

영향

Node.js 16.x 릴리스 라인은 중간 심각도의 이슈 두 개에 취약합니다.

Node.js 14.x 릴리스 라인은 중간 심각도의 이슈 두 개에 취약합니다.

Node.js 12.x 릴리스 라인은 높은 심각도 이슈 한 개와 중간 심각도의 이슈 세 개에 취약합니다.

릴리스 시기

릴리스는 2021년 7월 1일 목요일쯤 사용 가능할 예정입니다.

연락처 및 향후 업데이트

현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하고 싶다면
https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.