(2021년 8월 11일 업데이트) 보안 릴리스를 사용할 수 있습니다.
다음 이슈에 대해 v16.x, v14.x, v12.x 버전의 Node.js 릴리스 라인의 업데이트를 이용할 수 있습니다.
c-ares 업그레이드 - 도메인명에 일반적이지 않은 문자의 부적절한 처리(높음) (CVE-2021-22931)
도메인 네임 서버가 반환한 호스트 명을 Node.js DNS 라이브러리에서 입력값 유효성 검사를 하지 않습니다.
이에 Node.js가 원격 코드 실행, XSS에 취약하고, 애플리케이션에 크래시가 발생할 수 있습니다.
이 유효성 검사 누락 때문에 (도메인 하이재킹이 되는) 잘못된 호스트 명을 출력할 수 있고 이 라이브러리를
사용하는 애플리케이션에 취약점을 주입할 수 있습니다.
자세한 내용은 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931에서 볼 수 있습니다.
영향받는 버전:
- 16.x, 14.x, 12.x 릴리스 라인의 모든 버전
이 취약점을 보고해 준 Fraunhofer SIT의 Philipp Jeitner에게 감사드립니다.
스트림 취소로 http2를 닫을 때의 use after free(높음) (CVE-2021-22940)
공격자가 프로세스의 동작을 변경하려고 메모리 변조를 악용할 수 있는 곳에서 use after free 공격에
Node.js가 취약합니다. 이 이슈는 CVE-2021-22930에 대한 수정이 문제를 완전히 해결하지 못했기 때문에
CVE-2021-22930의 후속 조치입니다.
자세한 내용은 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22940에서 볼 수 있습니다.
영향받는 버전:
- 16.x, 14.x, 12.x 릴리스 라인의 모든 버전
원래의 취약점을 보고하고 잔여 이슈도 찾도록 도와준 Eran Levin(exx8)에게 감사드립니다.
rejectUnauthorized 파라미터의 불완전한 유효성 검사(낮음) (CVE-2021-22939)
Node.js https API를 잘못 사용하고 “rejectUnauthorized” 파라미터에 "undefined"를 전달하면
오류도 반환하지 않고 만료된 인증서를 가진 서버에 연결을 받아들일 것입니다.
자세한 내용은 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22939에서 볼 수 있습니다.
영향받는 버전:
- 16.x, 14.x, 12.x 릴리스 라인의 모든 버전
이 취약점을 보고해 준 HTTP Toolkit의 Tim Perry에게 감사드립니다.
다운로드와 릴리스 상세 내용
요약
다음 이슈를 해결하려고 Node.js 프로젝트는 2021년 8월 11일 수요일쯤 지원하는 모든 릴리스 라인의 최신 버전을 릴리스할 것입니다.
- 높은 심각도의 이슈 두 개와 낮은 심각도의 이슈 한 개
영향
Node.js 16.x 릴리스 라인은 높은 심각도의 이슈 두 개와 낮은 심각도의 이슈 하나에 취약합니다.
Node.js 14.x 릴리스 라인은 높은 심각도의 이슈 두 개와 낮은 심각도의 이슈 하나에 취약합니다.
Node.js 12.x 릴리스 라인은 높은 심각도의 이슈 두 개와 낮은 심각도의 이슈 하나에 취약합니다.
릴리스 시기
릴리스는 2021년 8월 11일 수요일쯤 사용 가능할 예정입니다.
연락처 및 향후 업데이트
현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하고 싶다면
https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.