피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 0.12.14가 OpenSSL을 v1.0.1t로 업그레이드하여 CVE-2016-2107, CVE-2016-2105 보안 취약점 2개 해결
Node.js 0.12.14 (Maintenance)
AI 요약
Context
Node.js 0.12.14는 포함된 OpenSSL 라이브러리에서 AES-NI CBC MAC 체크의 패딩 오라클 취약점(CVE-2016-2107)과 EVP_EncodeUpdate 오버플로우 취약점(CVE-2016-2105)이 발견되어 긴급 패치가 필요했다.
Technical Solution
- OpenSSL을 v1.0.1t 버전으로 업그레이드: CVE-2016-2107 "AES-NI CBC MAC 체크의 패딩 오라클" 취약점 해결
- OpenSSL v1.0.1t 적용: CVE-2016-2105 "EVP_EncodeUpdate 오버플로우" 취약점 해결
- npm 버전 번호 수정: v2.15.1 코드의 잘못된 버전 번호 정정
- Windows 32/64비트, Mac OS X 유니버설/32/64비트, Linux 32/64비트, SmartOS 32/64비트 바이너리 배포
Key Takeaway
운영 중인 런타임의 보안 취약점은 즉시 업그레이드하고, 모든 플랫폼과 아키텍처에 일관되게 배포하는 것이 필수적이다.
실천 포인트
Node.js
0.
1
2.x를 사용 중인 프로덕션 환경에서는 OpenSSL 기반 암호화 작업(AES-CBC 암호화, Base64 인코딩)을 수행하는 애플리케이션의 경우 v
0.
1
2.14로 즉시 업그레이드해야 패딩 오라클 공격과 메모리 오버플로우로 인한 보안 위협을 제거할 수 있다.