Node.js Foundation Mengumumkan Pembaharuan Keamanan di Semua Rilis Aktif

September lalu tepatnya pada 23 September 2016 di Node.js News, Rod Vagg memberitakan sejumlah perbaikan di segala rilis yang masih aktif untuk September 2016 melalui Node.js News. Perbaikan terdapat pada beberapa bagian yang menggunakan OpenSSL 1.0.1 dan 1.0.2 yang menyebabkan keamaman di Node.js berkurang.

Berikut adalah perbaikan keamanan yang terdapat di Node.js terbaru, termasuk dengan masalah OpenSSL:

• CVE-2016-6304, ekstensi OCSP status request membuat penggunaan memori membengkak
• CVE-2016-2183, mitigasi SWEET32
• CVE-2016-6303, OOB terjadi di MDC2_Update()
• CVE-2016-2178, constant time flag tidak muncul saat DSA signing
• CVE-2016-6306, sertifikat pesan OOB terbaca
• CVE-2016-7099, sertifikat wildcard tidak divalidasi dengan baik
• CVE-2016-5325, argumen reason di ServerResponse.writeHead() tidak divalidasi dengan benar
• Menghapus dukungan untuk memuat modul third-party engine secara dinamis
• CVE-2016-6305, SSL_peek() nge-hang saat empty record
• CVE-2016-6302, DoS karena malformed SHA512 ticket
• CVE-2016-2182, OOB terjadi di BN_bn2dec()
• CVE-2016-2180, OOB terbaca di TS_OBJ_print_bio()
• CVE-2016-2177, undefined pada pointer arithmetic
• CVE-2016-2179, pesan buffered DTLS menyebabkan DoS
• CVE-2016-2179, proteksi replay DTLS menyebabkan DoS
• CVE-2016-6307, alokasi memori berlebih di tls_get_message_header()
• CVE-2016-6308, alokasi memori berlebih di dtls1_preprocess_fragment()

Untuk melihat perkembangan keamanan Node.js, dapat Anda ikuti di link - link berikut:

• https://groups.google.com/forum/#%21forum/nodejs-sec
• https://nodejs.org/en/blog/
• http://github.com/nodejs/
• https://nodejs.org/en/security/

(rfs/nodejs)