주요 변경사항
- CVE-2021-3672/CVE-2021-22931: 도메인명에 일반적이지 않은 문자의 부적절한 처리(높음)
- 도메인 네임 서버가 반환한 호스트 명을 Node.js DNS 라이브러리에서 입력값 유효성 검사를
하지 않습니다. 이에 Node.js가 원격 코드 실행, XSS에 취약하고, 애플리케이션에
크래시가 발생할 수 있습니다. 이 유효성 검사 누락 때문에 (도메인 하이재킹이 되는)
잘못된 호스트 명을 출력할 수 있고 이 라이브러리를 사용하는 애플리케이션에 취약점을
주입할 수 있습니다. 자세한 내용은
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931에서 볼 수 있습니다.
- 도메인 네임 서버가 반환한 호스트 명을 Node.js DNS 라이브러리에서 입력값 유효성 검사를
- CVE-2021-22940: 스트림 취소로 http2를 닫을 때의 use after free(높음)
- 공격자가 프로세스의 동작을 변경하려고 메모리 변조를 악용할 수 있는 곳에서 use after free 공격에
Node.js가 취약합니다. 이 이슈는 CVE-2021-22930에 대한 수정이 문제를 완전히 해결하지 못했기 때문에
CVE-2021-22930의 후속 조치입니다. 자세한 내용은
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22940에서 볼 수 있습니다.
- 공격자가 프로세스의 동작을 변경하려고 메모리 변조를 악용할 수 있는 곳에서 use after free 공격에
- CVE-2021-22939: rejectUnauthorized 파라미터의 불완전한 유효성 검사(낮음)
- Node.js https API를 잘못 사용하고 “rejectUnauthorized” 파라미터에 "undefined"를 전달하면
오류도 반환하지 않고 만료된 인증서를 가진 서버에 연결을 받아들일 것입니다. 자세한 내용은
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22939에서 볼 수 있습니다.
- Node.js https API를 잘못 사용하고 “rejectUnauthorized” 파라미터에 "undefined"를 전달하면
Commits
- [
5f947db68c] - deps: update c-ares to 1.17.2 (Beth Griggs) #39724 - [
42695ea34b] - deps: reflect c-ares source tree (Beth Griggs) #39653 - [
e4c9156b32] - deps: apply missed updates from c-ares 1.17.1 (Beth Griggs) #39653 - [
9cd1f53103] - http2: add tests for cancel event while client is paused reading (Akshay K) #39622 - [
2008c9722f] - http2: update handling of rst_stream with error code NGHTTP2_CANCEL (Akshay K) #39622 - [
1780bbc329] - tls: validate “rejectUnauthorized: undefined” (Matteo Collina) nodejs-private/node-private#276
Windows 32-bit Installer: https://nodejs.org/dist/v12.22.5/node-v12.22.5-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v12.22.5/node-v12.22.5-x64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v12.22.5/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v12.22.5/win-x64/node.exe
macOS 64-bit Installer: https://nodejs.org/dist/v12.22.5/node-v12.22.5.pkg
macOS Intel 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-darwin-x64.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-linux-ppc64le.tar.xz
Linux s390x 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-linux-s390x.tar.xz
AIX 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-aix-ppc64.tar.gz
SmartOS 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-sunos-x64.tar.xz
ARMv7 32-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v12.22.5/node-v12.22.5-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v12.22.5/node-v12.22.5.tar.gz
Other release files: https://nodejs.org/dist/v12.22.5/
Documentation: https://nodejs.org/docs/v12.22.5/api/
SHASUMS
1 | -----BEGIN PGP SIGNED MESSAGE----- |