피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js가 2023년 6월 20일 보안 릴리스로 OpenSSL, c-ares 업데이트 및 정책/권한 모델의 7개 중등도·3개 고위험 취약점 패치
Tuesday June 20 2023 Security Releases
AI 요약
Context
Node.js 16.x, 18.x, 20.x의 활성 릴리스 라인에서 OpenSSL 및 c-ares 라이브러리의 보안 취약점이 발견되었습니다. 또한 실험 단계인 정책(policy) 메커니즘과 권한(permission) 모델에서 우회 공격이 가능한 여러 취약점이 식별되었습니다.
실천 포인트
Node.js를 사용하는 운영 팀은 2023년 6월 20일 이후
1
6.x,
1
8.x,
2
0.x 릴리스 라인의 패치 버전으로 즉시 업그레이드하여 OpenSSL 및 c-ares 취약점 7개 중등도·3개 고위험 이슈를 해결해야 합니다. 특히 Node.js 20의 실험용 권한 모델(--experimental-permission)을 프로덕션에서 사용 중인 경우 경로 순회, fs.watchFile, fs.openAsBlob(), Inspector를 통한 우회 공격으로부터 보호받을 수 있습니다.