Node.js 14.15.1이 CVE-2020-8277 DNS 요청 기반 서비스 거부 취약점을 패치한 보안 릴리스

Node.js 14.15.1 (LTS)

2020년 11월 16일3분intermediate

AI 요약

Context

Node.js 애플리케이션이 공격자가 지정한 호스트에 대해 DNS 요청을 트리거할 수 있는 경우, 많은 응답을 포함하는 DNS 레코드를 해석하도록 강제하여 서비스 거부 공격이 가능했다.

실천 포인트

Node.js

4.x LTS 버전을 사용하는 프로덕션 환경에서는 DNS 쿼리 입력값을 외부 사용자가 제어할 수 없도록 제한하거나,

5.1 이상으로 즉시 업그레이드하여 CVE-2020-8277 취약점으로 인한 DoS 공격으로부터 보호해야 한다.

태그