(2021년 10월 12일 업데이트) 보안 릴리스를 사용할 수 있습니다.
아래의 이슈들에 대해 v16.x, v14.x, v12.x 버전의 Node.js 릴리스 라인의 업데이트를 사용할 수 있습니다.
헤더의 공백으로 인한 HTTP Request Smuggling 문제(중간) (CVE-2021-22959)
HTTP 파서는 헤더 이름과 콜론 사이에 공백이 있는 요청도 허용합니다. 이로 인해 HTTP Request Smuggling(HRS) 취약점이 발생할 수 있습니다.
자세한 사항은 CVE-2021-22959가 공개되고 나면 볼 수 있습니다.
llhttp v2.1.4와 v6.0.6에는 이 문제를 해결하는 수정이 포함되어 있습니다.
이 취약점을 보고해 준 Mattias Grenfeldt(https://grenfeldt.dev/)와 Asta Olofsson에게 감사드립니다.
영향받는 버전:
- 16.x, 14.x, 12.x 릴리스 라인의 모든 버전.
요청 본문(body)을 해석할 때의 HTTP Request Smuggling 취약점(중간) (CVE-2021-22960)
몇 개로 분할된 요청의 본문을 파싱할 때 chunk 확장은 무시합니다. 이로 인해 특정 상황에서 HTTP Request Smuggling(HRS) 취약점이 발생할 수 있습니다.
자세한 내용은 CVE-2021-22960이 공개되고 나면 확인할 수 있습니다.
llhttp v2.1.4와 v6.0.6에는 이 문제를 해결하는 수정이 포함되어 있습니다.
이 취약점을 보고해 준 Mattias Grenfeldt(https://grenfeldt.dev/)와 Asta Olofsson에게 감사드립니다.
영향받는 버전:
- 16.x, 14.x, 12.x 릴리스 라인의 모든 버전.
다운로드와 릴리스 상세 내용
요약
Node.js 프로젝트는 다음 이슈를 해결하기 위해 2021년 10월 12일 화요일쯤 12.x, 14.x, 16.x 릴리스 라인의 최신 버전을 릴리스할 것입니다.
- 중간 심각도 이슈 두 개
영향
Node.js 16.x 릴리스 라인은 중간 심각도의 이슈 두 개에 취약합니다.
Node.js 14.x 릴리스 라인은 중간 심각도의 이슈 두 개에 취약합니다.
Node.js 12.x 릴리스 라인은 중간 심각도의 이슈 두 개에 취약합니다.
릴리스 시기
릴리스는 2021년 10월 12일 화요일쯤 사용 가능할 예정입니다.
연락처 및 향후 업데이트
현재 Node.js의 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.
Node.js의 취약점을 보고하고 싶다면
https://github.com/nodejs/node/blob/master/SECURITY.md에 정리된 절차를 따르기 바랍니다.
Node.js의 보안 취약점과 보안과 관련된 릴리스의 최신 정보를 얻으려면
https://groups.google.com/forum/#!forum/nodejs-sec에서 소수의 공지만 하는
nodejs-sec 메일링 리스트를 구독해 주세요. 이 프로젝트는 nodejs GitHub 조직에서 관리하고 있습니다.