Node.js 9.2.1이 Buffer 할당 시 무효한 콘텐츠를 0으로 채우도록 변경 및 OpenSSL을 1.0.2n으로 업데이트

Node.js 9.2.1 (Current)

2017년 12월 8일2분beginner

AI 요약

Context

Node.js 버전 9.2.1은 버퍼 할당 시 초기화되지 않은 메모리가 유출될 수 있는 보안 위험을 내포했다. OpenSSL 라이브러리의 알려진 취약점들이 누적되어 있었다.

Buffer 할당 시 무효한 콘텐츠를 0으로 채우기: Anna Henningsen의 #17428 커밋으로 메모리 초기화 동작 수정
OpenSSL 의존성 업그레이드: 버전 1.0.2n으로 업데이트하여 보안 패치 적용 (Shigeki Ohtsu의 #17526 커밋)
Windows(32/64비트), macOS, Linux(x86, x64, ARM, PPC, s390x), AIX, SmartOS 전 플랫폼 바이너리 배포

아티클에 정량적 수치가 명시되어 있지 않습니다.

이 릴리스는 메모리 초기화 및 보안 라이브러리 업데이트를 통해 버퍼 유출 취약점을 제거했다. Node.js 사용자는 즉시 9.2.1로 업그레이드하여 메모리 보안 및 OpenSSL 취약점으로부터 보호받아야 한다.

실천 포인트

Node.js 애플리케이션을 운영하는 팀에서 런타임을

2.1 이상으로 업그레이드하면 Buffer 객체 할당 시 미초기화 메모리로 인한 정보 유출 위험을 차단하고 OpenSSL 보안 패치를 즉시 적용할 수 있다.

태그