2016-02-09

Node v0.10.42(LTS)

작성자: James M Snell
원문: Node v0.10.42 (LTS)
번역: taggon

중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.

주요 변경 사항

http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다.
http-parser: 1.0 버전에서 1.1 버전으로 업그레이드 했습니다.
openssl: 1.0.1q 버전에서 1.0.1r 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다.
src:
- 특정 CVE 수정 사항을 선택적으로 되돌리는 --security-revert={cvenum} 명령행 플래그를 새롭게 도입했습니다.
- --security-revert=CVE-2016-2216를 사용하면 CVE-2016-2216에 대한 수정 사항만 선택적으로 되돌릴 수 있습니다.
build:
- 0.10.42 버전부터 v0.10 빌드를 nodejs.org에서 xz 방식으로 압축된 tar 파일로 받을 수 있습니다.
- 0.10.42 버전부터 v0.10 빌드에 해당하는 headers.tar.gz 파일을 nodejs.org에서 받을 수 있습니다. 이 파일을 사용하려면 node-gyp가 업데이트 되어야 합니다.

Commits

[fdc332183e] - build: enable xz compressed tarballs where possible (Rod Vagg) https://github.com/nodejs/node/pull/4894
[2d35b421b5] - deps: upgrade openssl sources to 1.0.1r (Shigeki Ohtsu) https://github.com/joyent/node/pull/25368
[b31c0f3ea4] - deps: update http-parser to version 1.1 (James M Snell)
[616ec1d6b0] - doc: clarify v0.10.41 openssl tls security impact (Rod Vagg) https://github.com/nodejs/node/pull/4153
[ccb3c2377c] - http: strictly forbid invalid characters from headers (James M Snell)
[f0af0d1f96] - src: avoid compiler warning in node_revert.cc (James M Snell)
[df80e856c6] - src: add --security-revert command line flag (James M Snell)
[ff58dcdd74] - tools: backport tools/install.py for headers (Richard Lau) https://github.com/nodejs/node/pull/4149

Shasums (GPG signing hash: SHA512, file hash: SHA256):

------BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

f0280e1f5c2568e5fda9f911ab8341b47914a21d30f854136299f510dc843816  node.exe
aed0f1ba2e58ceec1c06050f5f0d3eaad6630da2457d2bf1bb839e68f33fd7b0  node.exp
647609c5f6d885752d4374cf5fd67de72c896b43f888c4c37db9e6bd90633c50  node.lib
5b4b8f3f88ef533ebb7e9baecdd8e9ae8e8f53559320e77ea176a607be4d6858  node.pdb
356b4891c7060b6a68cf126837689807c30d43b709120b7fe6f167404612eb5a  node-v0.10.42-darwin-x64.tar.gz
cb794c57c5af5c06ef4b24bbbc423dd155867e2e01ee266f2da8e8c6aa5a33d3  node-v0.10.42-darwin-x64.tar.xz
ff61d24f80db9c5e6b007103751cdb8ac6cb3ff4180972ce1532bcb934847e0c  node-v0.10.42-darwin-x86.tar.gz
7c67fc5992f5b038bebfd7274b7d4197011470562737d46b9a006876692513d1  node-v0.10.42-darwin-x86.tar.xz
64d3e067cda5a675b44cee9875d1d72f8a29ed8bc19e476a16467336b832bfb3  node-v0.10.42-headers.tar.gz
5add37eb5d1f8f9ac061524dcbe8a87a17b9af19f9521f622fdc491cbf23dc32  node-v0.10.42-headers.tar.xz
a9b80fb22efc483b6aef282ebb0254b5d9b092ed8091521977af593069a81d53  node-v0.10.42-linux-x64.tar.gz
fd049d9f6a53497092568c81c77a85c3035911ff687eeece95e98b59fb543ec6  node-v0.10.42-linux-x64.tar.xz
5e528360a59314e2357184a8582d4d9dd1aa1c77687145bcf11b23e28f4ddd00  node-v0.10.42-linux-x86.tar.gz
f19ee1f785ea79d26187c8956e01a9362bbfbcb117d98d6bd6c6927a6d33906a  node-v0.10.42-linux-x86.tar.xz
600b983bf2802d29d175da885fb0b5905195b322dc0c2d45c510ef5de356fb66  node-v0.10.42.pkg
af15246d6889db4449dc46d5c4a549bb56b19481cbb801d30a09153ba71b88e1  node-v0.10.42-sunos-x64.tar.gz
5c15420d3fa7253f966cd29ea9d863d383ce05bca040c517c204a4abbc31d353  node-v0.10.42-sunos-x64.tar.xz
3333f1fd394bdde5aafa424d945b002b0d0876e17396f864af9c230c81aac08b  node-v0.10.42-sunos-x86.tar.gz
ae9ceedb9f80eda4d14fb29b3b862b29acf1a45666b34d53867aad80c05ef1b6  node-v0.10.42-sunos-x86.tar.xz
ebc1d53698f80c5a7b0b948e1108d7858f93d2d9ebf4541c12688d85704de105  node-v0.10.42.tar.gz
9b4cc1b5bc397d80dfe217625b04bb6212a3b5a8b1e0eb36000a30d7ae567b8a  node-v0.10.42.tar.xz
8fc72fa366d886cf41a80bcc0b78b37e3eb7a0eb78a9b80e8d328accec430150  node-v0.10.42-x86.msi
aefe011af949fa65cc89df70815f61abe3839841a069f85d4db6e9f55281bc6d  openssl-cli.exe
5d6869db2027e9a7a5a912d597a5772d2630515315119affb96d4ff91cacd9ed  openssl-cli.pdb
94d2835c74d6dd8c4e457a0f4c48be9fec48c15d185b6e2874794d1e9a19561f  x64/node.exe
d44a2acd401c0e2c388cf58607f90b275728b4e51650bd4516dce13de436c5e0  x64/node.exp
e1526036dc9acc16072f2da806a240b8b93fbe1e67368e10b0cfb96703f579d3  x64/node.lib
8ea78b09fa6014542b4eba8b8d03243effa2099425d41d66c7368b2a008abe06  x64/node.pdb
93609d2b7c127121150a3d65f123da0038d80ab870bf9844c05130bd9d2e7c71  x64/node-v0.10.42-x64.msi
4c4b7452a192e5b1b4596fa3375baa100a88bba7f81fb95c3c7f8641b818dbb3  x64/openssl-cli.exe
14fbf4dad971c6bfe64c46bd667613f8c0756c1d425bbef740b4fc213e30ea5a  x64/openssl-cli.pdb
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQEcBAEBCgAGBQJWuhvlAAoJEHNBsVwHCHesU7sH/jkm32kqNQA+qV4V4nO4W2XQ
m+RHBfLKoXzw26amM17I9UNtbjzEcwfmVj060qmdjZgofer/aFx+cP43SpiVPVmG
BD4jfp46wqsd4v4R+ZBwQV/GppTU/Xsfux4k5h7ied2oIoSJsUQhhBNdUk4GZj2/
iDPhIe/3ugBFJVnT+YGGmM/y7V9L8hz91K+jxmkGx0p2EQZchkYSXYWONXv9pVbz
VNhLmW7H7/afuIqBlsA327Q4ZdGAgqVqLqiPGkwzRQOob2+Wlb7nHsger7VnMh9S
XJf42E17IDB3zVD2HHPzaSti3BC+Jm18i0PwBqE3YksTnPPxry70GGmSm7OK6iY=
=NYfo
-----END PGP SIGNATURE-----

2016-02-09

articles

Node v0.12.10(LTS)

작성자: James M Snell
원문: Node v0.12.10 (LTS)
번역: taggon

중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.

주요 변경 사항

http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다.
http-parser: 2.3.0 버전에서 2.3.1 버전으로 업그레이드 했습니다.
openssl: 1.0.1q 버전에서 1.0.1r 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다.
src:
- 특정 CVE 수정 사항을 선택적으로 되돌리는 --security-revert={cvenum} 명령행 플래그를 새롭게 도입했습니다.
- --security-revert=CVE-2016-2216를 사용하면 CVE-2016-2216에 대한 수정 사항만 선택적으로 되돌릴 수 있습니다.
build:
- 0.12.10 버전부터 v0.12 빌드를 nodejs.org에서 xz 방식으로 압축된 tar 파일로 받을 수 있습니다.
- 0.12.10 버전부터 v0.12 빌드에 해당하는 headers.tar.gz 파일을 nodejs.org에서 받을 수 있습니다. 이 파일을 사용하려면 node-gyp가 업데이트 되어야 합니다.

Commits:

[4312848bff] - build: enable xz compressed tarballs where possible (Rod Vagg) https://github.com/nodejs/node/pull/4894
[247626245c] - deps: upgrade openssl sources to 1.0.1r (Shigeki Ohtsu) https://github.com/joyent/node/pull/25368
[744c9749fc] - deps: update http-parser to version 2.3.1 (James M Snell)
[d1c56ec7d1] - doc: clarify v0.12.9 notable items (Rod Vagg) https://github.com/nodejs/node/pull/4154
[e128d9a5b4] - http: strictly forbid invalid characters from headers (James M Snell)
[bdb9f2cf89] - src: avoiding compiler warnings in node_revert.cc (James M Snell)
[23bced1fb3] - src: add --security-revert command line flag (James M Snell)
[f41a3c73e7] - tools: backport tools/install.py for headers (Richard Lau) https://github.com/nodejs/node/pull/4149

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

8a9c7fe990c1028e7c6d5bf61413027904a0fff67e23ba7c7c6d5fbb16cd4884  node.exe
c2b369b4fdb12c3ac14a6214c48c901e4805366a361c6cae5bb24215bf282318  node.exp
6919172dc22ad2690836a3988bf138cfc80ba484490a05a6eafda0a4909936d1  node.lib
5809753f1a8b6e3e311c41a066f0eb8f90b5b569896b6f1945af0971de9b2e4d  node.pdb
c95df35ca1ed7b4b0ded815c1d49f36defcb1fdb882f6a8ef6106a07e3f2ffef  node-v0.12.10-darwin-x64.tar.gz
b4ae523d81ced4935e0c7184bafcc1eb199d08ccfc70267a0dab546c33c18831  node-v0.12.10-darwin-x64.tar.xz
d4abd2b778c9d803676ad6121e6fdbc625b9ea73e845b0ecd761c162e86150ca  node-v0.12.10-darwin-x86.tar.gz
0bc827d4c494274855b01ff2fab4ad311fe3c0b50cc0b62bb7736c7c890d2f15  node-v0.12.10-darwin-x86.tar.xz
c8e99589d96f9ad598c2d602e3dcac4bb0147a709da4da89a1f2b7f667f4b415  node-v0.12.10-headers.tar.gz
8c44114a3f5747475a042fd2f2333d4671223638a0dfa3cb264bf32f9a7c91c5  node-v0.12.10-headers.tar.xz
8fb4d6ed8934f0b0c92c26878511e1d340b068ee966c131ba0fccc1199f4349d  node-v0.12.10-linux-x64.tar.gz
a993b72902eb1bdd50f1615026b6372a0d28302c15841b04e11bedab379709c0  node-v0.12.10-linux-x64.tar.xz
6f3ea401d2f488afb6adc57a3056df8658c1c9a57a368637cbc215ed3133c3b7  node-v0.12.10-linux-x86.tar.gz
99d0c121cd58b2d44080f78692dfb400e5098190f453709707594debd1359154  node-v0.12.10-linux-x86.tar.xz
afa45162c741898c7fc382093f29e68503edfa48cd67541d9c2c4081197fba02  node-v0.12.10.pkg
d67f17540c711eb150b8a389af1b4e6ecdcab66a1648b7ce925af98ab52b2698  node-v0.12.10-sunos-x64.tar.gz
2840f181594a0bd8b9cade785e9b6502591da68dc5a3ed3f2773637eb7df980b  node-v0.12.10-sunos-x64.tar.xz
beca24cc3615c5b1858817d121bd91eecdc3af5b98ed0c4c171e1ef60afac049  node-v0.12.10-sunos-x86.tar.gz
3cb4a9cbfd0f724c3ba6e4ca2c6c70bb6d7c103dea682acf9c8ca1125133e1a2  node-v0.12.10-sunos-x86.tar.xz
edbd3710512ec7518a3de4cabf9bfee6d12f278eef2e4b53422c7b063f6b976d  node-v0.12.10.tar.gz
f6318e5413982d40358a1b479458ebdd4bb523ae572c1149ce0e73cb58661978  node-v0.12.10.tar.xz
b888d17dbf04e43f521dbff8a68b24fae37027f6cd6b5a80430bc64fc5e7da40  node-v0.12.10-x86.msi
6153b53d72ea6cfbd6fd4a591787831c32fdd610d851fa2312eece6ac4686929  openssl-cli.exe
668479f90904e088ead0258de2941e597ba08aa61a1eed3ed96622c4c6d3bb25  openssl-cli.pdb
79687fe8d08a439f5167ab474a1238b6423cdb4f72cbc94213cfd6c21cf729f0  x64/node.exe
90116c88db51255a9c20158fd7b577769241b576d5642e269c465342c20f7025  x64/node.exp
490482c06c1ae913e3f78006aa9d41d67659e5499a4155cef2ff2ab49caf8921  x64/node.lib
58d9088252d3d5cc12647448491b6e287f9cd6a573be7b59f98ceb13fed15e2e  x64/node.pdb
a3b49281f8f07eddf310c621feb55f98bd07f7ad252d5afa215212cf3f6e12d2  x64/node-v0.12.10-x64.msi
3cf691f703fc23c71263f8f02fd8780891a0e0f6cae37b4e15353446a47014b7  x64/openssl-cli.exe
ab634d22bd0a6bbf8a1adbd144f621e600deabf957d08effed729f88db3763ab  x64/openssl-cli.pdb
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQEcBAEBCgAGBQJWuhv7AAoJEHNBsVwHCHes2HwH/i14nZes3/aej0uw3Yu2vhU6
X+MSyaZ4/Nrd+5YWy2BYXyVwO/PK7g508nGUqf5I4zEfmw8nwBYqyuf6891YeTR/
rD5yKhldt/lnWFLu6L8g4FKSPo3Zf0Vb1EB/xgL04VHlP6Pjh0/AOU5VS6Rvk9is
TerO4AHbYFYMkI7/xeSSPGxwhGEP5grBxOogJNRyHTfbav04VEg+kLwH59CSaYvM
PdHEvb03fOhJBDsuK1I0yADvLqtiVeUoarWO9h4HVbt2+8haPaDFpHfGREEOwyxn
hTZJUpoHMDTADd8Fzxpqbu2IPBhZwc01QUyCju8FUSTxAScCxNM1bYpuqDr934M=
=w69g
-----END PGP SIGNATURE-----

2016-02-09

articles

Node v4.3.0(LTS)

작성자: James M Snell
원문: Node v4.3.0 (LTS)
번역: taggon

중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.

주요 변경 사항

http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다.
http-parser: 2.5.0 버전에서 2.5.1 버전으로 업그레이드 했습니다.
openssl: 1.0.2e 버전에서 1.0.2f 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다.
src:
- 특정 CVE 수정 사항을 선택적으로 되돌리는 --security-revert={cvenum} 명령행 플래그를 새롭게 도입했습니다.
- --security-revert=CVE-2016-2216를 사용하면 CVE-2016-2216에 대한 수정 사항만 선택적으로 되돌릴 수 있습니다.

Commits

[d94f864abd] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) #1836
[136295e202] - deps: upgrade openssl sources to 1.0.2f (Myles Borins) #4961
[0eae95eae3] - (SEMVER-MINOR) deps: update http-parser to version 2.5.1 (James M Snell)
[cf2b714b02] - (SEMVER-MINOR) http: strictly forbid invalid characters from headers (James M Snell)
[49ae2e0334] - src: avoid compiler warning in node_revert.cc (James M Snell)
[da3750f981] - (SEMVER-MAJOR) src: add --security-revert command line flag (James M Snell)

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

72858adf7bc84b632f5635dd4a8030226048af5ad5cb166c7ee169dfcb4645ef  node-v4.3.0-darwin-x64.tar.gz
b36acbb638db5091becb2edc7e450aa02dc3a8062cd11014eb79434901236ee3  node-v4.3.0-darwin-x64.tar.xz
113a7c5689fd7a1d60160398a9cb0b03b0b88632ba0a2df148ef6e4c96986ec9  node-v4.3.0-headers.tar.gz
34a510fd4caa2830463f3df4765ab274bb5054be7437e7ca3f47f01827f8e1c6  node-v4.3.0-headers.tar.xz
47a52191e264efdbc36f5ec6510abd71fd5d3337d75120c2ddc6a285873763b7  node-v4.3.0-linux-arm64.tar.gz
2d7e28d80667212547d75f7b77f1bba5b015195cebde94d62be787725ee9715b  node-v4.3.0-linux-arm64.tar.xz
2e035c649f72b5fbd712e6cf52e83e9f013b9a266dc907d3595b1c143c9906df  node-v4.3.0-linux-armv6l.tar.gz
eec2411bb08341982c5e40537b7660f09a8001d68d6bd7ef36254c6b813de340  node-v4.3.0-linux-armv6l.tar.xz
49dfc4c4e5d1d07c91503c2a601665b68b6f5fc95d94517628f9a0f43b178158  node-v4.3.0-linux-armv7l.tar.gz
ed2cc35422161e59946c3d53040e7c421ba607876f312181afb0994188c406e5  node-v4.3.0-linux-armv7l.tar.xz
90ce6e23ad9748813742e1cf09e86fa4c0f3d53972d5dbe920a38bcc842e2d09  node-v4.3.0-linux-x64.tar.gz
9e46eedf6cf6de8472fcf939b2ba6c78d6caaa9348f95385146ebc9cddf6470e  node-v4.3.0-linux-x64.tar.xz
6972ed77c36f026498a0fde6b237fbc554325fa3a7426ee17ce563bdc08caa69  node-v4.3.0-linux-x86.tar.gz
2054242f13a6bdb43ff33238dff20aeb5ef06e73a22b9e55b0a01d94c6f8dd9f  node-v4.3.0-linux-x86.tar.xz
cafa3e7dc44fdd1459fcd81e4a770629f8fed4c74f77c446f9acde30a444bb28  node-v4.3.0.pkg
c97723abd27c2b48ec2cbc9cc9b7dd057c96bf05c1895d7740414f84955753db  node-v4.3.0-sunos-x64.tar.gz
6c850504d23c138c8de00731a814e8aec4ca9b96781970e3f4caa21d2d91c94d  node-v4.3.0-sunos-x64.tar.xz
8f645328daa96702bf110cfcf2021620dc76fcb16ce80423a5f72dd23893cf71  node-v4.3.0-sunos-x86.tar.gz
e7dac63c559050a09f8a201fab92af14d1f19cf6a6c5ad9f0d2cc53a2ffc4355  node-v4.3.0-sunos-x86.tar.xz
18504ac6d903cd061f60a29dafcda416a078112f3404d23a7901c41a8e9706b9  node-v4.3.0.tar.gz
4b4cb93929c2368219eb36a707b0cb87b08df5757c5c1073c18c15b79c873566  node-v4.3.0.tar.xz
48d2a640d8d7f390cbe7f5e6ddb5a0240f1a5e49e1d6f97f222bc54a69773238  node-v4.3.0-x64.msi
eb22e601c152b0ebad11e4ddd24b777aff6e36c8e0de92f9a088959cad3d0f47  node-v4.3.0-x86.msi
cd7f06223a59fa7057a0b528dd411896f995a541c1e82dd838ef1b3c72d5383d  win-x64/node.exe
6e2363d5ad5438f15373571ce44ffdd4a2bc3f8873fe9d51bbb108b34a7b7307  win-x64/node.lib
e5bf98250aa9972cf810c52793d684eeba17afe7e1241d93b39f7110a6825b53  win-x86/node.exe
7025ae784e4f78bb4dcb5d6635d773b3ada138b99cfea0a285a6c55311de9213  win-x86/node.lib
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQEcBAEBCgAGBQJWuhwKAAoJEHNBsVwHCHesMUUIAJIQP0LRemTTPlCgthwFlFDP
FRiImqbIUSPCVf+lEzfBqGAOlHmPLqGLKhiaYt5TxgglomRYNuLcUhc8g19HSkvV
KT9PU2JjSUHZ0dc2FgzlrWKZzET9DpBeNQzKHE3i26Z5SGdvVdZSShuS1WgoBzao
SwQqB1F38mThrL0FAg7PQ80nNH/Tl+mqdJF9Yrjrblfisv+qAnFqlhSC8L78jhLc
geWnuW22qm4CuDQp5DcwJAlYHk0P6AtVtVsvi+XUwUIe4RKpMUmvkYUa2zPF5T/9
RtKneJXAF/hqEXhPfDE4gF0gGIVE0avHQAYV7NyXvi7R+jwhlNnwd3m0kyEdeZ4=
=70Ju
-----END PGP SIGNATURE-----

2016-02-09

articles

Node v5.6.0(안정 버전)

작성자: James M Snell
원문: Node v5.6.0 (Stable)
번역: taggon

중요한 보안 릴리스입니다. 패치된 취약점에 관한 자세한 사항은 https://nodejs.org/en/blog/vulnerability/february-2016-security-releases/ 문서를 참고하세요.

주요 변경 사항

http: 요청과 응답의 HTTP 헤더를 파싱할 때 요청 스머글링(smuggling)을 허용하거나(CVE-2016-2086) 응답 스플리팅(splitting)을 허용할 수 있는(CVE-2016-2216) 취약점이 수정됐습니다.
이제 HTTP 헤더 파싱은 수용하는 문자를 제한하는 등 HTTP 스펙에 더 근접하게 조정되었습니다.
http-parser: 2.6.0 버전에서 2.6.1 버전으로 업그레이드 했습니다.
npm: npm을 3.3.12 버전에서 3.6.0 버전으로 업그레이드 했습니다. (Rebecca Turner) #4958
openssl: 1.0.2e 버전에서 1.0.2f 버전으로 업그레이드 했습니다.
로그잼(Logjam) 공격을 방지하기 위해 TLS 클라이언트는 이제 파라미터가 1024비트보다 짧은 디피-헬만(Diffie-Hellman) 핸드셰이크를 거부합니다.
이전에는 768비트까지 허용했습니다.

Commits

[3b6283c163] - benchmark: add a constant declaration for net (Minwoo Jung) #3950
[3175f7450e] - buffer: remove duplicated code in fromObject (HUANG Wei) #4948
[58d67e26a2] - buffer: validate list elements in Buffer.concat (Michaël Zasso) #4951
[bafc86f00e] - buffer: refactor redeclared variables (Rich Trott) #4886
[0fa4d90b94] - build: Add VARIATION variable to binary target (Stefan Budeanu) #4631
[ec62789152] - crypto: fix memory leak in LoadPKCS12 (Fedor Indutny) #5109
[d9e934c71f] - crypto: add pfx certs as CA certs too (Fedor Indutny) #5109
[0d4b538175] - crypto: use SSL_CTX_clear_extra_chain_certs. (Adam Langley) #4919
[abb0f6cd53] - crypto: fix build when OCSP-stapling not provided (Adam Langley) #4914
[755619c554] - crypto: use a const SSL_CIPHER (Adam Langley) #4913
[d5d2f86f89] - (SEMVER-MINOR) deps: update http-parser to version 2.6.1 (James M Snell)
[f0bd176d6d] - deps: reapply c-ares floating patch (Ben Noordhuis) #5090
[f1a0827417] - deps: sync with upstream bagder/c-ares@2bae2d5 (Fedor Indutny) #5090
[cbf36de8f1] - deps: upgrade npm to 3.6.0 (Rebecca Turner) #4958
[dd97d07a0d] - deps: backport 8d00c2c from v8 upstream (Gibson Fahnestock) #5024
[b75263094b] - deps: add -no_rand_screen to openssl s_client (Shigeki Ohtsu) #1836
[b312b7914f] - deps: upgrade openssl sources to 1.0.2f (Myles Borins) #4961
[fa0457ed04] - dns: throw a TypeError in lookupService with invalid port (Evan Lucas) #4839
[c4c8b3bf2e] - doc: fix dgram doc indentation (Rich Trott) #5118
[027cd2719f] - doc: clarify code of conduct reporting (Julie Pagano) #5107
[9f7aa6f868] - doc: clarify dgram socket.send() multi-buffer support (Matteo Collina) #5130
[a96ae2cb37] - doc: console is asynchronous unless it’s a file (Ben Noordhuis) #5133
[4c54c8f309] - doc: fix typo in dgram doc (Rich Trott) #5114
[9c93ea3d51] - doc: fix links order in Buffer doc (Alexander Makarenko) #5076
[a0ba378880] - doc: minor improvement in OS docs (Alexander Makarenko) #5006
[1e2108a6b7] - doc: fix links in Addons docs (Alexander Makarenko) #5072
[e5134b1701] - doc: fix inconsistent styling (Brian White) #4996
[dde160378e] - doc: fix link in cluster documentation (Timothy Gu) #5068
[e5254c12f4] - doc: fix reference to API hash.final (Minwoo Jung) #5050
[87fd9968a8] - doc: clarify optional arguments of Buffer methods (Michaël Zasso) #5008
[9908eced24] - doc: uppercase ‘RSA-SHA256’ in crypto.markdown (Rainer Oviir) #5044
[bf0383bbea] - doc: apply consistent styling for functions (Rich Trott) #4974
[8c7f4bab2d] - doc: multiple improvements in Stream docs (Alexander Makarenko) #5009
[ee013715b9] - doc: improve styling consistency in VM docs (Alexander Makarenko) #5005
[9824b0d132] - doc: fix anchor links from stream to http and events (piepmatz) #5007
[2c85f79569] - doc: minor improvement to HTTPS doc (Alexander Makarenko) #5002
[9cf1370017] - doc: improve styling consistency in Buffer docs (Alexander Makarenko) #5001
[2750cb0613] - doc: consistent styling for functions in TLS docs (Alexander Makarenko) #5000
[4758bf13a5] - doc: update npm LICENSE using license-builder.sh (Rebecca Turner) #4958
[3b08b5d22c] - doc: fix minor typo in process doc (Prayag Verma) #5018
[129977c9c7] - doc: fix typo in Readme.md (Prayag Verma) #5017
[5de3dc557f] - doc: fix notDeepEqual API (Minwoo Jung) #4971
[d47dadcc1f] - doc: make buffer methods styles consistent (Timothy Gu) #4873
[17888b122c] - doc: fix JSON generation for aliased methods (Timothy Gu) #4871
[396e4b9199] - doc: add more details to process.env (Evan Lucas) #4924
[bc11bf4659] - doc: don’t use “interface” as a variable name (ChALkeR) #4900
[bcf55d2f44] - doc: spell writable consistently (Peter Lyons) #4954
[4a6d0ac436] - doc: update eol handling in readline (Kári Tristan Helgason) #4927
[e65d3638c0] - doc: replace function expressions with arrows (Benjamin Gruenbaum) #4832
[423a58d66f] - doc: show links consistently in deprecations (Sakthipriyan Vairamani) #4907
[fd87659139] - doc: add docs working group (Bryan English) #4244
[19ed619cff] - doc: remove unnecessary bind(this) (Dmitriy Lazarev) #4797
[5129930786] - doc: keep the names in sorted order (Sakthipriyan Vairamani) #4876
[3c46c10d54] - doc: fix nonsensical grammar in Buffer::write (Jimb Esser) #4863
[a1af6fc1a7] - doc: add servername parameter docs (Alexander Makarenko) #4729
[f4eeba8467] - doc: fix code type of markdowns (Jackson Tian) #4858
[fa1d453359] - doc: check for errors in ‘listen’ event (Benjamin Gruenbaum) #4834
[f462320f74] - doc: undo move http.IncomingMessage.statusMessage (Jeff Harris) #4822
[711245e5ac] - doc: style fixes for the TOC (Roman Reiss) #4748
[611c2f6fdf] - doc: proper markdown escaping -> __, *, _ (Robert Jefe Lindstaedt) #4805
[5a860d9cb7] - doc: Examples work when data exceeds buffer size (Glen Arrowsmith) #4811
[71ba14de86] - doc: update list of personal traits in CoC (Kat Marchán) #4801
[97eedfc57a] - doc: harmonize $ node command line notation (Robert Jefe Lindstaedt) #4806
[2dde0f08c9] - doc: add buf.indexOf encoding param with example (Karl Skomski) #3373
[66c74548de] - doc: fenced all code blocks, typo fixes (Robert Jefe Lindstaedt) #4733
[54e8845b5e] - fs: refactor redeclared variables (Rich Trott) #4959
[fa940cf9bc] - fs: remove unused branches (Benjamin Gruenbaum) #4795
[a3b84a4c93] - (SEMVER-MINOR) http: strictly forbid invalid characters from headers (James M Snell)
[9b03af254a] - http: remove reference to onParserExecute (Tom Atkinson) #4773
[101de9de3f] - https: evict cached sessions on error (Fedor Indutny) #4982
[b2c8b7f6d3] - internal/child_process: call postSend on error (Fedor Indutny) #4752
[55030922e5] - lib: scope loop variables (Rich Trott) #4965
[725ad5b1ce] - lib: remove string_decoder.js var redeclarations (Rich Trott) #4978
[c09eb44a59] - module: refactor redeclared variable (Rich Trott) #4962
[612ce66c78] - net: refactor redeclared variables (Rich Trott) #4963
[c9b05dafe0] - net: move isLegalPort to internal/net (Evan Lucas) #4882
[7003a4e3d8] - node_contextify: do not incept debug context (Myles Borins) #4815
[5a77c095a6] - process: support symbol events (cjihrig) #4798
[85743c0e92] - querystring: check that maxKeys is finite (Myles Borins) #5066
[5a10fe932c] - querystring: use String.prototype.split’s limit (Manuel Valls) #2288
[2844cc03dc] - repl: remove variable redeclaration (Rich Trott) #4977
[ac6627a0fe] - src: avoid compiler warning in node_revert.cc (James M Snell)
[459c5844c8] - (SEMVER-MINOR) src: add --security-revert command line flag (James M Snell)
[95615196de] - src: clean up usage of proto (Jackson Tian) #5069
[e93b024214] - src: remove no longer relevant comments (Chris911) #4843
[a2c257a3ef] - src: fix negative values in process.hrtime() (Ben Noordhuis) #4757
[b46f3b84d4] - src,deps: replace LoadLibrary by LoadLibraryW (Cheng Zhao) iojs/io.js#226
[ee8d4bb075] - stream: prevent object map change in TransformState (Evan Lucas) #5032
[c8b6de244e] - stream: refactor redeclared variables (Rich Trott) #4816
[9dcc45e9c5] - test: enable to work pkcs12 test in FIPS mode (Shigeki Ohtsu) #5150
[e4390664ae] - test: disable gh-5100 test when in FIPS mode (Fedor Indutny) #5144
[cf3aa911ec] - test: fix flaky test-dgram-pingpong (Rich Trott) #5125
[63884f57dd] - test: mark flaky tests on Raspberry Pi (Rich Trott) #5082
[09917c99d8] - test: fix net-socket-timeout-unref flakiness (Santiago Gimeno) #4772
[83da19aa48] - test: fix redeclared test-event-emitter-* vars (Rich Trott) #4985
[87b27c913d] - test: fix redeclared test-intl var (Rich Trott) #4988
[e98772d68e] - test: remove redeclared var in test-domain (Rich Trott) #4984
[443d0463ca] - test: add common.platformTimeout() to dgram test (Rich Trott) #4938
[90219c3398] - test: fix flaky cluster test on Windows 10 (Rich Trott) #4934
[3488fa81b5] - test: fix variable redeclarations (Rich Trott) #4992
[7dc0905d4d] - test: fix redeclared test-util-* vars (Rich Trott) #4994
[53e7d605c9] - test: fix redeclared vars in sequential tests (Rich Trott) #4999
[a62ace9f7e] - test: fix tls-no-rsa-key flakiness (Santiago Gimeno) #4043
[9b8f025816] - test: fix redeclared vars in test-url (Rich Trott) #4993
[51fb8845d5] - test: fix redeclared test-path vars (Rich Trott) #4991
[b16b360ae8] - test: fix var redeclarations in test-os (Rich Trott) #4990
[d6199773e8] - test: fix test-net-* variable redeclarations (Rich Trott) #4989
[9dd5b3e01b] - test: fix redeclared test-http-* vars (Rich Trott) #4987
[835bf13c1d] - test: fix var redeclarations in test-fs-* (Rich Trott) #4986
[71d7a4457d] - test: fix redeclared vars in test-vm-* (Rich Trott) #4997
[38459402a5] - test: fix inconsistent styling in test-url (Brian White) #5014
[4934798c0d] - test: pummel test fixes (Rich Trott) #4998
[3970504298] - test: remove var redeclarations in test-crypto-* (Rich Trott) #4981
[a2881e2187] - test: remove test-cluster-* var redeclarations (Rich Trott) #4980
[c3d93299c2] - test: fix test-http-extra-response flakiness (Santiago Gimeno) #4979
[0384a43885] - test: Add assertion for TLS peer certificate fingerprint (Alan Cohen) #4923
[48a353fe41] - test: scope redeclared vars in test-child-process* (Rich Trott) #4944
[89d1149467] - test: fix test-tls-zero-clear-in flakiness (Santiago Gimeno) #4888
[f7ed47341a] - test: remove Object.observe from tests (Vladimir Kurchatkin) #4769
[d95e53dc3b] - test: refactor switch (Rich Trott) #4870
[7f1e3e929a] - test: remove race condition in http flood test (Rich Trott) #4793
[6539c64e67] - test: scope redeclared variable (Rich Trott) #4854
[62fb941557] - test: fix irregular whitespace issue (Roman Reiss) #4864
[3b225209f0] - test: fs.link() test runs on same device (Drew Folta) #4861
[1860eae110] - test: refactor test-net-settimeout (Rich Trott) #4799
[ae9a8cd053] - test: mark test-tick-processor flaky (Rich Trott) #4809
[57cea9e421] - test: remove test-http-exit-delay (Rich Trott) #4786
[2119c76d5a] - test: refactor test-fs-watch (Rich Trott) #4776
[e487b72459] - test: move cluster tests to parallel (Rich Trott) #4774
[8c694a658c] - test: improve test-cluster-disconnect-suicide-race (Rich Trott) #4739
[14f5bb7a99] - test,buffer: refactor redeclarations (Rich Trott) #4893
[62479e3406] - tls: scope loop vars with let (Rich Trott) #4853
[d6fbd81a7a] - tls_wrap: reach error reporting for UV_EPROTO (Fedor Indutny) #4885
[f75d06bf10] - tools: lint for empty character classes in regex (Rich Trott) #5115
[53cbd0564f] - tools: lint for spacing around unary operators (Rich Trott) #5063
[7fa5959c59] - tools: fix redeclared vars in doc/json.js (Rich Trott) #5047
[e95fd6ae70] - tools: apply linting to doc tools (Rich Trott) #4973
[777ed82162] - tools: fix detecting constructor for JSON doc (Timothy Gu) #4966
[5d55f59c85] - tools: add property types in JSON documentation (Timothy Gu) #4884
[fd5c56698e] - tools: add support for subkeys in release tools (Myles Borins) #4807
[34df6a5c0c] - tools: enable assorted ESLint error rules (Roman Reiss) #4864
[386ad7e0b5] - tools: fix setting path containing an ampersand (Brian White) #4804
[e415eb27e5] - url: change scoping of variables with let (Kári Tristan Helgason) #4867

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

1ef8f5b627cf980b0d242d5b70be3c6fbefc8e61ecfcaf97930965d68c927bd9  node-v5.6.0-darwin-x64.tar.gz
c4c263d84de3d7c2b990f97a5fbc3db50519fd67ed34e75388db7fdb2d2c8bf0  node-v5.6.0-darwin-x64.tar.xz
3eb317571329d1ff345aba83e94d0fd6bf2043697d032fdcffb92265e11b61be  node-v5.6.0-headers.tar.gz
5e44ce115da250b157841f2655eb399423a99d9f80ac21bf374c3ad0e315d998  node-v5.6.0-headers.tar.xz
3b22bb5e1579d6e45f31da88c17baeb17a12ecb297c1c69447de6030d626b08d  node-v5.6.0-linux-arm64.tar.gz
a956f0204bbbb87f0403026c7a6a588c62d9a8f057ccdceaedb8e73df05f4996  node-v5.6.0-linux-arm64.tar.xz
7e258c59576beddd475fc33a8e57b153f0455cf1a5d801aedc6cee17137e9bae  node-v5.6.0-linux-armv7l.tar.gz
f44c5b3ae7f78cb4910d238a88c4d97281a87f0848324668162fd90383f73475  node-v5.6.0-linux-armv7l.tar.xz
6b10e446b5a1227673b87d840e9a500f5d2dbd2b806d96e2d81d634c3381a5f1  node-v5.6.0-linux-x64.tar.gz
d72e4e264c4a9da6a4fe631f376e84d5a9c1fd0a2eea7514f3e4c1736915b394  node-v5.6.0-linux-x64.tar.xz
f6fc3391f48a3fc2d077dc0e1673fc3934eb2b9465cbeab334e3967d1503ba49  node-v5.6.0-linux-x86.tar.gz
a22fe4ab92958e40fda35ec2bc3a0a10b2c56e1ccbc1a0dea8b642e39725fb71  node-v5.6.0-linux-x86.tar.xz
4cd99f324db690c17b6ba9705db6c1cc172d3d210d003c64c09b1ed60a6ccaf0  node-v5.6.0.pkg
a7010c2f7ddc5f6fff7f4d04e1f0973edd387ebba891c8905323daf2ba499a4c  node-v5.6.0-sunos-x64.tar.gz
2b0d631e03f2b5968011dbbc8ff2eef094d580cb774a4c44dcda726568f80fa0  node-v5.6.0-sunos-x64.tar.xz
30ca440291a06e6f7af77ba072dbe4ce771e80dcd6ce4366ff1c6fa18df45f75  node-v5.6.0-sunos-x86.tar.gz
7dae04996ce9ea4f16a3dd51a155d98497863153bcdb3cdabb57647387e0efb4  node-v5.6.0-sunos-x86.tar.xz
3af2cc5e5970afc83e59f2065fea2e2df846a544a100cd3c0527f0db05bec27f  node-v5.6.0.tar.gz
588341e466ac72f6b8e9fa500f04edf149f7d4e8141c4175c495d6d1484405e3  node-v5.6.0.tar.xz
dd4734d61ed2da37c114cdecfee298a6dc3cffc2c3a7c7998a74ea1428a4f667  node-v5.6.0-x64.msi
13f816a2b53a337721414577881a0786240ff53e26d687a4dbde17fbce9e1b15  node-v5.6.0-x86.msi
692cabe22e81a153fcabada86d69e96af002b908c54a600466fa59c701e52a5a  win-x64/node.exe
a6c1ae1c8a907ede15c997d0a056247680227cd4328251e840faec15b9eb34bf  win-x64/node.lib
c78efdd5decb224d39cfcf84819ca7a301da3bf2fc07d32cb31d47e763a0c75c  win-x86/node.exe
1957ce7915ec342645420373b0a0581b28fa7659b59c7e92a1c84928f354aa22  win-x86/node.lib
-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQEcBAEBCgAGBQJWuhwcAAoJEHNBsVwHCHescgwIAIAh5QLINVL1xfrWdtDZDFar
kbO61ecgtaw8fB+bdPfSjHARzXFWn5rzlDMXM5Sv8rQOf/Ts+FczEdWhijuO7HYr
kQEZ2AyKxkhM/o6mUQ1QGF9MkjfGrqfP/a1MmBfVQCKHdy0JnkZaXKx02ou9duWQ
NpxvKt4CugnPMYngT/zmwZl78f1Gfp5yYB2DyxKdgKLjIaTeQXE15fnUExPZ7hTa
iCYFgEvRgocvwbHBnHg2XdRyY6XX2IIjx9OnhTATCSXQEcqKN4TLB8X95387iiTe
UHtTVDJIsbRpqOWM1iRB/kHkQwWMREAx8rBI4PihoRTYBmP5UBvVWZ8Df7R2s2Q=
=8MEQ
-----END PGP SIGNATURE-----

2016-02-09

articles

2월 보안 릴리스 요약

작성자: Rod Vagg
원문: February Security Release Summary
번역: Napier

2주 전, HTTP 관련 취약성을 수정하고 번들 버전의 OpenSSL을 업그레이드 하기 위한 모든 상용 릴리스 라인(v0.10, v0.12, v4, v5)의 업데이트 계획을 발표했습니다.

OpenSSL 업데이트 릴리스에 대해 Node.js 사용자가 받는 영향을 정리해 올린 적 있습니다. 이번 업데이트는 Node.js 사용자에게 영향을 주는 한 가지 작은 변화도 포함하고 있습니다.

발표된 취약점과 OpenSSL을 업데이트하는 수정사항을 담은 Node.js v0.10.42(유지보수 버전), v0.12.10(LTS), v4.3.0 “Argon”(LTS), v5.6.0(안정 버전)을 오늘 릴리스 했습니다.

내부 보안 수정사항 때문에 LTS “Argon” 배포 라인은 v4.2.x에서 v4.3.x으로 이동되었다는 점은 기억해 두시기 바랍니다. v4.2.x의 업데이트는 더 이상 이루어지지 않습니다. 가능하면 v4.3.0으로 업그레이드 하시기 바랍니다.

사용 중인 Node.js 버전의 수정된 취약점이 주는 영향도와 환경을 업그레이드해야 하는 긴급성을 알리기 위해 아래에 자세한 내용을 정리했습니다.

CVE-2016-2086 Response Smuggling 취약점

Régis Leroy는 특정 조건에서 Response Smuggling 공격이 가능한 Node.js의 취약점에 대해 언급하였습니다. 이 취약점을 해결하기 위해, 요청과 응답의 Node.js HTTP 헤더 파싱 기법은 Content-Length를 다루는 형식적인 HTTP 사양에 더 가까워졌습니다.

이 취약성의 영향은 애플리케이션과 네트워크에 따라 다르지만 Node.js가 공격에 취약한지 파악하기가 더 어려워 졌습니다. 따라서 업그레이드 하시길 권장합니다.

Node.js 0.10.x 버전은 취약합니다. v0.10.42(유지보수 버전)로 업그레이드하세요.
Node.js 0.12.x 버전은 취약합니다. v0.12.10(LTS)으로 업그레이드하세요.
LTS Argon을 포함한 Node.js 4.x 버전은 취약합니다. v4.3.0 “Argon”(LTS)으로 업그레이드하세요.
Node.js 5.x 버전은 취약합니다. v5.6.0(안정 버전)으로 업그레이드하세요.

CVE-2016-2216 Response Splitting 취약점

Node.js HTTP 헤더 파싱은 response splitting 공격(new-line / CRLF injection)을 받을 수 있다고 Сковорода Никита Андреевич(Nikita Skovoroda / @ChALkeR)와 Amit Klein(Safebreach 소속)이 각각 알렸습니다. Node.js가 CRLF 문자를 검사하여 response splitting 공격을 방어하고 있는 동안, 이전 검사를 우회하며 이 문자를 분해하여 유니코드 문자로 response 헤더를 구성하는 것이 가능합니다.

이 취약점을 해결하기 위해, 형식적인 HTTP 사양을 만족하는 요청과 응답에 대한 Node.js의 HTTP 헤더 파싱 기법은 종료되었습니다. 토큰을 위한 유효한 세트의 문자 이외의 것을 포함하는 HTTP 헤더는 거부될 것입니다. 위 검사는 Node.js의 서버와 클라이언트를 위한 요청과 응답에 적용됩니다.

Node.js의 클라이언트와 서버를 위한 느슨한 HTTP 헤더 파싱에 의존하는 Node.js 애플리케이션이 존재할 수도 있습니다. 그래서 위 변화는 semver-major 버전을 증가시켜야 하는 중대한 변화입니다. 그러나 LTS 정책에 따라, 이 변화를 Node.js의 v4(v4.2.x에서 v4.3.x으로), v5 버전의 semver-minor로서, v0.10과 v0.12 버전의 semver-patch로서 소개합니다.

v5.6.0 버전은 제외하고 v0.10.42, v0.12.10, v4.3.0 버전의 Node.js LTS 배포 또한 새로운 구조의 헤더 파싱을 벗어나기 위해 사용되는 새로운 명령행 인수를 포함합니다. Node.js가 시작할 때 --security-revert=CVE-2016-2216 옵션을 제공함으로써 관대한 HTTP 헤더 문자 체크가 대신 사용될 것입니다. 이 옵션을 사용하는 것은 추천하지 않으며, 새로운 행동으로의 회기 결과가 완전히 이해될 때에만 임시 통합 툴로써 사용하길 권합니다.

모든 사용자는 수정본 버전으로 업그레이드하기를 권합니다.

Node.js 0.10.x 버전은 취약합니다. v0.10.42(유지보수 버전)로 업그레이드하세요.
Node.js 0.12.x 버전은 취약합니다. v0.12.10(LTS)으로 업그레이드하세요.
LTS Argon을 포함한 Node.js 4.x 버전은 취약합니다. v4.3.0 “Argon”(LTS)으로 업그레이드하세요.
Node.js 5.x 버전은 취약합니다. v5.6.0(안정 버전)으로 업그레이드하세요.

OpenSSL 업그레이드 정리

Node.js v0.10.42와 v0.12.10 버전에서는 1.0.1q에서 1.0.1r으로 OpenSSL의 번들 버전을 업그레이드 합니다. 자세한 사항은 OpenSSL 1.0.1 변경사항에서 확인할 수 있습니다.

Node.js v4.3.0과 v5.6.0 버전에서는 1.0.2e에서 1.0.2f로 OpenSSL의 번들 버전을 업그레이드 합니다. 자세한 사항은 OpenSSL 1.0.2 변경사항에서 확인할 수 있습니다.

우리의 영향 평가에 따라, 배포 사항은 아래와 같습니다.

DH small 하위 그룹 (CVE-2016-0701)

v0.10과 v0.12 버전의 Node.js는 이 취약성에 영향을 받지 않습니다.

v4와 v5 버전의 Node.js는 SSL_OP_SINGLE_DH_USE 옵션을 이미 사용하기 때문에 이 취약성에 영향을 받지 않습니다.

SSLv2가 비활성화된 암호를 막지 않음 (CVE-2015-3197)

기본적으로 v0.10과 v0.12 버전의 Node.js에서는 SSLv2를 사용하지 않고, --enable-ssl2 명령행 인수가 사용되지 않는 한 영향을 받지 않습니다. (추전하지 않습니다)

Node.js v4 버전과 v5 버전은 SSLv2를 지원하지 않습니다.

DHE man-in-the-middle 보호 업데이트(Logjam)

이전 버전의 OpenSSL에서는(Node.js v0.10.39, v0.12.5, v4.0.0, v5.0.0 버전 이상) 디피-헬만 파라미터가 768 비트보다 짧으면 서버에서 접속을 거부하여 TLS 클라이언트의 로그잼 문제를 방지했습니다.

모든 Nodes.js 라인에 적용된 OpenSSL 새 버전에서는 이 값을 1024 비트로 증가시켰습니다. 이번 변경 사항은 길이가 짧은 DH 파라미터를 사용해 서버에 접속하는 TLS 클라이언트에만 영향이 있습니다.

새 버전 릴리스가 공지되는 nodejs-sec(https://groups.google.com/forum/#!forum/nodejs-sec) 게시물에 많은 관심 부탁드립니다. nodejs.org 블로그에서 보안 관련 글만 포함하는 Atom feed도 사용할 수 있습니다.

2016-02-08

weekly

Node.js 주간 뉴스 2016년 2월 8일

작성자: Minwoo Jung (@jmwsoft)
원문: Weekly Update - Feb 8th, 2016
번역: taggon

Node.js 뉴스

2016 선거

첫 번째 개인 회원 선거가 치러졌습니다.
이번 선거에서 가장 많은 표를 얻은 당선자의 임기는 2년이며 부 당선자의 임기는 1년입니다.
이후에는 매해 선거를 치르며 당선자의 임기는 2년이 됩니다.

2016년 선거에서 당선된 이사회 구성원은 다음과 같습니다.
- Ashley Williams @ashleygwilliams - 2년 임기
- Feross Aboukhadijeh @feross - 1년 임기

다가오는 이벤트

NodeConf Adventure 2016. “NodeConf Adventure의 1차 티켓을 신청할 수 있습니다!”. 미국 캘리포니아 주 마린 카운티 Walker Creek Ranch에서 2016년 6월 9일부터 12일까지 열립니다.
NationJS Node Day Conference. 지금 표를 살 수 있습니다. 워싱턴 DC에서 2016년 3월 11일에 열립니다.

계획 중인 Node.js 이벤트가 있나요? Evangelism 팀 저장소의 이슈 페이지에 주간 업데이트 이슈를 통해 알릴 수 있습니다.

2016-01-29

weekly

Node.js 주간 뉴스 2016년 1월 29일

작성자: Minwoo Jung (@jmwsoft)
원문: Weekly Update - Jan 29th, 2016
번역: taggon

Node.js 뉴스

Node.js 프로젝트는 다음 주 초에 현재 진행 중인 모든 릴리스 라인의 새 버전을 출시할 예정입니다. 출시 일정은 전체 영향 평가에 따라 더 빨라질 수도 있습니다. 이번 릴리스에서는 OpenSSL에서 나온 업스트림 패치를 포함하며 그 밖에 HTTP 처리와 관련된 심각도가 낮은 문제점 몇 가지를 수정합니다. 전체 상세 내용은 관련 문서를 참고하기 바랍니다.

더 자세한 정보는 https://nodejs.org/en/blog/vulnerability/openssl-and-low-severity-fixes-jan-2016/ 문서에서 볼 수 있습니다.

OpenSSL 영향 평가

OpenSSL 1.0.1r 버전과 1.0.21 버전이 릴리스 되었습니다. 관련 공지는 https://mta.openssl.org/pipermail/openssl-announce/2016-January/000061.html 문서를 참고하세요.

우리 팀은 이번 릴리스에 대비하여 드러난 결함이 끼치는 영향을 평가했는데 이번에 릴리스될 패치된 Node.js에 긴급한 문제는 없다고 결론 내렸습니다.
따라서 우리는 현재 진행 중인 모든 릴리스 라인의 새 버전을 원래 계획대로 진행하고 릴리스할 것입니다.
새 버전은 2월 1일 월요일 오후 11시(UTC), 한국 기준 2월 2일 화요일 오전 8시 이후에 릴리스할 예정입니다.
다만 릴리스 시기는 정확하지도 않을 수 있습니다.
새 버전 릴리스가 공지되는 nodejs-sec(https://groups.google.com/forum/#!topic/nodejs-sec) 게시물에 많은 관심 부탁드립니다.

2016년 선거 후보자 등록

지난 금요일에 Node.js 재단 이사회에 참여할 개인 회원 대표의 후보자 등록이 마감되었습니다. 전부 12명이 후보자로 등록했습니다.

투표 용지는 1월 20일에 개인 회원에게 배부될 예정이며, 선거는 1월 30일까지 치뤄집니다.

투표 자격을 얻으려면 Node.js 재단에 개인 회원으로 등록해야 합니다. 자세한 정보는 https://nodejs.org/en/blog/community/individual-membership/ 페이지에서 확인하세요.

커뮤니티 업데이트

숫자로 보는 노드 2015, “바이너리 및 소스의 다운로드 기록을 분석하여 몇 가지 재밌는 패턴을 발견했습니다.”
ninetyseven, “프론트엔드 npm 쇼”

Node.js에 관한 글을 쓰거나 발견했다면, Evangelism 팀 저장소의 이슈 페이지에 주간 업데이트 이슈로 알려주세요.

다가오는 이벤트

NodeConf Adventure 2016. “NodeConf Adventure의 1차 티켓을 신청할 수 있습니다!”. 미국 캘리포니아 주 마린 카운티 Walker Creek Ranch에서 2016년 6월 9일부터 12일까지 열립니다.
NationJS Node Day Conference. 지금 표를 살 수 있습니다. 워싱턴 DC에서 2016년 3월 11일에 열립니다.

계획 중인 Node.js 이벤트가 있나요? Evangelism 팀 저장소의 이슈 페이지에 주간 업데이트 이슈를 통해 알릴 수 있습니다.

2016-01-27

articles

OpenSSL 업그레이드와 심각도가 낮은 Node.js 보안 수정사항

작성자: Rod Vagg
원문: OpenSSL upgrade low-severity Node.js security fixes
번역: Outsider

요약

Node.js 프로젝트는 다음 주 초에 현재 진행 중인 모든 릴리스 라인의 새 버전을 출시할 예정입니다.
출시 일정은 전체 영향 평가에 따라 더 빨라질 수도 있습니다. 이번 릴리스에서는 OpenSSL에서 나온
업스트림 패치를 포함하며 그 밖에 HTTP 처리와 관련된 심각도가 낮은 문제점 몇 가지를 수정합니다.
전체 상세 내용은 관련 문서를 참고하기 바랍니다.

OpenSSL

OpenSSL 프로젝트는 UTC 기준으로 1월 28일에 1.0.2f와 1.0.1r 버전을 릴리스할 것이라고 이번 주에
발표했습니다.
이번 릴리스에서는 OpenSSL의 보안 정책에서
“높은” 심각도로 평가된 보안 결함을 수정할 것입니다. 여기서 “높은” 심각도는 다음을 의미합니다.

보편적이지 않은 설정에 영향을 거거나 이용 가능성이 크지 않기 때문에 낮은 위험성을 가지는 이슈

Node.js v0.10과 v0.12는 모두 OpenSSL v1.0.1을 사용하고 Node.js v4와 v5는
OpenSSL v1.0.2를 사용합니다. 일반적으로 정적으로 컴파일되어 있으므로 모든 릴리스 라인이 이번
업데이트의 영향을 받습니다.

지금 단계에서는 엠바고 때문에 이 결함에 대한 자세한 내용이 확실하지 않고
Node.js 사용자에 대한 영향도 확실하지 않습니다.

심각도가 낮은 Node.js 보안 수정

추가로 Node.js의 HTTP 처리와 관련된 수정사항이 있습니다. 이 문제는 낮은 심각도로 분류되었고 이 결함을
이용한 어떤 방법도 발견되지 않았습니다. 새 릴리스가 나올 때까지는 전체 상세 내용을 공개하지 않습니다.

공통 취약점 점수 시스템(CVSS, Common Vulnerability Scoring System) v3의 기본 점수

Metric	Score
기초 점수:	4.8 (Medium)
기초 벡터:	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
공격 벡터:	네트워크 (AV:N)
공격 복잡도:	높음 (AC:H)
권한 필요성:	없음 (PR:N)
사용자 상호작용:	없음 (UI:N)
권한 변경:	변화없음 (S:U)
비밀 보호 영향도:	낮음 (C:L)
무결성 영향도:	낮음 (I:L)
가용성 영향도:	없음 (A:N)

영향도

OpenSSL 업데이트와 Node.js 수정사항은 모두 Node.js에서 관리하는 모든 릴리스 라인에 영향을 줍니다.

Node.js 0.10.x 버전은 영향을 받습니다.
Node.js 0.12.x 버전은 영향을 받습니다.
Node.js LTS Argon을 포함한 4.x 버전은 영향을 받습니다.
Node.js 5.x 버전은 영향을 받습니다.

릴리스 시기

OpenSSL 릴리스가 이번 주 후반으로 계획되어 있으므로 다음 주 초까지 Node.js의 릴리스 계획은 연기하고
있습니다. 이는 업그레이드 과정이 복잡하기도 하고 평일 후반이나 주말에 보안 수정사항을
릴리스하는 것은 피하기 때문입니다.

UTC 기준 2월 1일 월요일 오전 11시 (태평양시 기준 2월 1일 월요일 오후 3시) 직후에 릴리스할
예정이며 이때 사용자가 전체 영향 평가를 할 수 있도록 자세한 결함 내용도 공개할 것입니다.

하지만 28일에 OpenSSL의 자세한 결함이 공개될 때 Node.js의 crypto 팀에서 Node.js 사용자에게
예상되는 심각도에 대한 자세한 평가 내용을 만들 것입니다. Node.js 사용자에게 실제로 중요한
수정사항이라고 판단된다면 공개된 취약점을 막기 위해 사용자들이 배포할 수 있도록
금요일이나 토요일에 릴리스를 추진할 수도 있습니다.

nodejs-sec 구글 그룹에 OpenSSL 릴리스 이후 24시간 이내에 확정된 릴리스 시기와 최종 릴리스에
포함될 자세한 결함 내용을 올릴 예정이나 참고하길 바랍니다.
https://groups.google.com/forum/#!forum/nodejs-sec

연락처와 차기 업데이트

현재 Node.js 보안 정책은 https://nodejs.org/en/security/에서 볼 수 있습니다.

Node.js 취약점에 대해 보고하고 싶다면 security@nodejs.org로 연락을 주세요.

보안 취약점과 보안과 관련된 릴리스에 대한 최신 정보를 받고 싶다면
https://groups.google.com/forum/#!forum/nodejs-sec에서 약간의 공지만 올라오는
nodejs-sec 메일링 리스트를 구독하기 바랍니다. 프로젝트는
nodejs GitHub 조직에서 관리되고 있습니다.

(2016년 1월 29일 갱신됨) OpenSSL 영향 평가

OpenSSL 1.0.1r과 1.0.21 버전이 릴리스 되었습니다.
공지는 https://mta.openssl.org/pipermail/openssl-announce/2016-January/000061.html에서 볼 수 있습니다.

Node.js 팀에서 공개된 결함에 대한 영향도를 평가한 결과 이번 릴리스와 관련해서는 Node.js의 수정
버전에는 급한 이슈가 없다고 결론지었습니다. 그래서 계획한 대로 진행해
UTC 기준 2월 1일 월요일 오후 11시 _(태평양시 기준 2월 1일 월요일 오후 3시)_에 관리 중인 각
릴리스 라인의 새 버전을 릴리스하기로 했습니다. 이는 단순 추정한 릴리스 시기입니다. 릴리스가 완료되었다는
공지는 nodejs-sec (https://groups.google.com/forum/#!forum/nodejs-sec)에
올릴 것입니다.

자세한 내용

DH small 하위 그룹 (CVE-2016-0701)

v0.10과 v0.12 버전의 Node.js는 이 취약성에 영향을 받지 않습니다.

v4와 v5 버전의 Node.js는 SSL_OP_SINGLE_DH_USE 옵션을 이미 사용하기 때문에 이 취약성에 영향을 받지 않습니다.

SSLv2가 비활성화된 암호를 막지 않음 (CVE-2015-3197)

기본적으로 v0.10과 v0.12 버전의 Node.js에서는 SSLv2를 사용하지 않고, --enable-ssl2 명령행
인수가 사용되지 않는 한 영향을 받지 않습니다. (이 인수는 사용하지 않는 것을 추천합니다.)

Node.js v4 버전과 v5 버전은 SSLv2를 지원하지 않습니다.

DHE man-in-the-middle 보호 업데이트(Logjam)

이전 버전의 OpenSSL에서는(Node.js v0.10.39, v0.12.5, v4.0.0, v5.0.0 버전 이상)
디피-헬만 파라미터가 768비트보다 짧으면 서버에서 접속을 거부하여 TLS _클라이언트_의
로그잼 문제를
방지했습니다.

모든 Nodes.js 라인에 적용된 OpenSSL 새 버전에서는 이 값을 1024비트로 증가시켰습니다. 이번 변경
사항은 길이가 짧은 DH 파라미터를 사용해 서버에 접속하는 TLS 클라이언트에만 영향이 있습니다.

(2016년 1월 30일 갱신됨) 릴리스 연기

공지했던 보안 릴리스는 이전에 공지한 2월 1일에는 진행되지 않을 예정입니다. 대신
UTC 기준 2월 9일 화요일 오후 11시 (태평양시 기준 2월 9일 화요일 오후 3시) 정도에
릴리스할 것입니다.

계획했던 수정사항이 일반적인 상황에서 하위 호환성이 깨지는 관계로 Node.js의 다음 주 버전인 v6가
나올 때까지 지연될 것입니다. 하지만 수정사항이 모든 릴리스 라인(LTS 라인인 v4, v0.12, v0.10을
포함해서)에 존재하는 보안 문제를 해결하기 때문에 변경사항을 더 자세히 리뷰하고 사용자에게 영향을
최소화하는 가장 좋은 방법을 찾는 데 조금 더 시간이 필요합니다.

이 일정 변경으로 발생한 불편함이 있다면 사과드립니다.

이후의 변경내용을 보려면
nodejs-sec(https://groups.google.com/forum/#!forum/nodejs-sec)를 보시기 바랍니다.

2016-01-22

weekly

Node.js 주간 뉴스 2016년 1월 22일

작성자: Minwoo Jung (@jmwsoft)
원문: Weekly Update - Jan 22th, 2016
번역: yous

Node.js 뉴스

Node v4.2.6(LTS), Node v5.5.0(안정 버전), Node v4.2.5(LTS)가 릴리스됐습니다

2016년 선거 후보자 등록

지난 금요일에 Node.js 재단 이사회에 참여할 개인 회원 대표의 후보자 등록이 마감되었습니다. 전부 12명이 후보자로 등록했습니다.

투표 용지는 1월 20일에 개인 회원에게 배부될 예정이며, 선거는 1월 30일까지 치뤄집니다.

커뮤니티 업데이트

숫자로 보는 노드 2015, “바이너리 및 소스의 다운로드 기록을 분석하여 몇 가지 재밌는 패턴을 발견했습니다.”
ninetyseven, “프론트엔드 npm 쇼”

Node.js에 관한 글을 쓰거나 발견했다면, Evangelism 팀 저장소의 이슈 페이지에 주간 업데이트 이슈로 알려주세요.

다가오는 이벤트

NodeConf Adventure 2016, “NodeConf Adventure의 1차 티켓을 신청할 수 있습니다!”. 미국 캘리포니아 주 마린 카운티 Walker Creek Ranch에서 2016년 6월 9일부터 12일까지 열립니다.
NationJS Node Day Conference. 지금 표를 살 수 있습니다. 워싱턴 DC에서 2016년 3월 11일에 열립니다.

계획 중인 Node.js 이벤트가 있나요? Evangelism 팀 저장소의 이슈 페이지에 주간 업데이트 이슈를 통해 알릴 수 있습니다.

2016-01-21

articles

Node v4.2.6(LTS)

작성자: Myles Borins
원문: Node v4.2.6 (LTS)
번역: taggon

주요 변경 사항

디버거와 프로파일러 기능에서 재발생한 문제를 수정했습니다.

알려진 이슈

beforeExit 중에 참조 해제된 타이머에 대한 문제가 아직 남아 있습니다. #1264
REPL에 입력된 서로게이트 페어가 터미널을 얼릴 수 있습니다. #690
DNS 질의 진행 중에 호출된 dns.setServers()는 단언문 실패로 프로세스를 크래시시킬 수 있습니다. #894
url.resolve가 두 호스트 사이를 해석하는 중 URL의 인증 정보를 교환할 수 있습니다. #1435

Commits

[1408f7abb1] - module,src: do not wrap modules with -1 lineOffset (cjihrig) #4298
[1f8e1472cc] - test: add test for debugging one line files (cjihrig) #4298

Shasums (GPG signing hash: SHA512, file hash: SHA256):

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

259ea77784013c1124506e3d90ee6847b2b9d3c066b6626ed62ebb31ed8e6fe3  node-v4.2.6-darwin-x64.tar.gz
2d7091eed56ede7c28ee5499697b84c289c37c06152c804f4eff7e0edd5fe7e1  node-v4.2.6-darwin-x64.tar.xz
a83ba921b951809aec81259a64c6d071c7ed443e8460898c42a8269c598930f9  node-v4.2.6-headers.tar.gz
9df143eaead3b60bf2dce35a25e9c2d3f48bd10b0200e7218e3d45d7a83a7d36  node-v4.2.6-headers.tar.xz
f0aadf2941d91bfac449cdc8c904a926f6d384e45a8f6443a2f0153501753427  node-v4.2.6-linux-arm64.tar.gz
29e9c0ff27a5ec560f1d4ec8749e99d36a3640d0c7ef26f7c9dfa46bffd6c88a  node-v4.2.6-linux-arm64.tar.xz
61eb9963c188fb63565461032db1ccce1bae741f985b7f237043dea16ca85531  node-v4.2.6-linux-armv6l.tar.gz
f57d818a2e65c301704e251bf18a12c81248b0322762f83a3d17a089c8aa19e9  node-v4.2.6-linux-armv6l.tar.xz
104d75d428a77a23cc646757cc5624d22fd8705026cf712ef6b826368efeae6f  node-v4.2.6-linux-armv7l.tar.gz
a27e40d7cb808345b0c773f93895b64660b882cbe292cef9cea0ac23cbb0c00c  node-v4.2.6-linux-armv7l.tar.xz
656d8bff06cc5e108b83176f81de7e1eb16392ae0958ec4a7bca2a3a309333a1  node-v4.2.6-linux-x64.tar.gz
919498f2eb855ef0468b428b97d9d3f604d0f83417502d65b98c136786eb94d5  node-v4.2.6-linux-x64.tar.xz
a96ce235e67e994aa5adec8255e13d4fbccd9c5b09b5e9554347dac2b1c5c8a1  node-v4.2.6-linux-x86.tar.gz
3530eced1fa40393ff9e9c412879924e98dee6a5a57347e6d4f764b0d110944a  node-v4.2.6-linux-x86.tar.xz
417b613ccae913e8ecb7e9836c7c0b2163feb27736c2478127d8046875aeaa0f  node-v4.2.6.pkg
96ccfeb7e15123111215d2093aa6c78abc7a43898c0a6c1838a56896e0b5493e  node-v4.2.6-sunos-x64.tar.gz
cb7f3901da967c1d71c04603a6ddf5488be9f149e26c54d3d40ab66efe64b4cc  node-v4.2.6-sunos-x64.tar.xz
83505ceb87e584ff15f47a2ab25ee77378791be56b06cfe94fe24155f229e772  node-v4.2.6-sunos-x86.tar.gz
41bb9a20ec77f42632345557d42f9603eb3a7785f729ce7c2742caa0f1a720af  node-v4.2.6-sunos-x86.tar.xz
ea5e357db8817052b17496d607c719d809ed1383e8fcf7c8ffc5214e705aefdd  node-v4.2.6.tar.gz
dcb935647f9e32fc90db52d393f00c9868ba9d84c5ebe5ddd766e225deb52c40  node-v4.2.6.tar.xz
31556639d865e20fabe104dfe36ce148b4d046d00b35122a7261ff03ed5ded3a  node-v4.2.6-x64.msi
b631c71151f127311c2a81fc65a9b4fc403acf570810b5b2563300db49eb2d98  node-v4.2.6-x86.msi
3b595ef2e9232b5bebabc69dbf52316d0e7a7c2b2a2e62abae89787e6f001e44  win-x64/node.exe
6863f29249ce79ddccb2ffcf1966d630e4f6efea695c6b20695d4d6a64828799  win-x64/node.lib
4e9ca71d4bd56df6b2afa51c2a0937ff94ae7c3f04c1306a4d3bd77ca232cea8  win-x86/node.exe
fd653c44129836021be6ad5f2822807158fb50f92c4bc4c91eda3e19ce0e0c40  win-x86/node.lib
-----BEGIN PGP SIGNATURE-----

iQEcBAEBAgAGBQJWoVpPAAoJEJM7AfQLXKlGE1UH/2AjSQrV3Gi46uImVEg2NiAO
qRYxoUL0ET1qESFcmSoufRfedFrG3Y1ukPNv4qRlMKSRvEuxSWYG6lEX/z6nUyJv
9l8xii1yY2/gFIuwqEkjJzowEhi/yCSMZRg5iXE+0uD9IBYjFIyaTI24G6IjfUTE
xt4vGxomqZeJij3JNJw+t4RReO56UIFcYS8cKp9g1NDdpkLab7qcjQ8QwpUZA+Oi
IuQ9H5rLLXtqOOjHbo+TAtEM66K38BU1g0tneWznMecsjuAWWzSDTNNbZPaRY9hJ
f8g37cwLOSO8GVviKfBwIaT0egfjexPrc3fPLQ6WMLSEAghwOib1zB/x1f6MzLg=
=ivFL
-----END PGP SIGNATURE-----