2021년 8월 31일 보안 릴리스

(2021년 8월 31일 업데이트) 보안 릴리스를 사용할 수 있습니다.

아래의 이슈들에 대해 v14.x, v12.x 버전의 Node.js 릴리스 라인의 업데이트를 사용할 수 있습니다.

npm 6버전 업데이트 - node-tar, arborist, npm cli 모듈

아래는 node-tar 취약점인 CVE-2021-32803과
CVE-2021-32804에 대한 초기 보고 및 후속 수정과 관련된 node-tar, arborist, npm cli 모듈의 취약점입니다.
node-tar 모듈과 추가 외부 현상금 보고에 대한 후속 내부 보안 리뷰를 통해 node-tar 및 npm arborist를 포함한 핵심 npm CLI 종속성에서 또 다른 CVE 5개가 수정되었습니다.

자세한 내용은 아래의 링크에서 확인할 수 있습니다.

• CVE-2021-37701
• CVE-2021-37712
• CVE-2021-37713
• CVE-2021-39134
• CVE-2021-39135

영향받는 버전:

• 14.x 및 12.x 릴리스 라인의 모든 버전

다운로드와 릴리스 상세 내용

• Node.js v12.22.6(LTS)
• Node.js v14.17.6(LTS)

---

요약

Node.js 프로젝트는 아래의 내용을 해결하기 위해 2021년 8월 31일 화요일쯤 12.x 및 14.x 릴리스 라인의 새 버전을 출시할 예정입니다.

• 심각도가 높은 이슈 세 개와 중간 심각도의 이슈 두 개.

영향도

Node.js 14.x 릴리스 라인은 심각도가 높은 이슈 세 개와 중간 심각도의 이슈 두 개에 취약합니다.

Node.js 12.x 릴리스 라인은 심각도가 높은 이슈 세 개와 중간 심각도의 이슈 두 개에 취약합니다.

릴리스 시기

릴리스는 2021년 8월 31일 화요일쯤 사용 가능할 예정입니다.

연락처 및 향후 업데이트

현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하고 싶다면
https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.

Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.