Pembaharuan OpenSSL 1.0.2k di Node.js

Diumumkan pada tanggal 27 Januari 2017 oleh Rod Vagg, OpenSSL terbaru 1.0.2k telah dipasang ke Node.js yang telah dipasang oleh tim kripo Node.js untuk menepis beberapa celah keamanan yang dirasa berbahaya.

Beberapa pengaruh yang terdapat di versi sebelumnya antara lain:

• truncated packet dapat mengakibatkan crash melalui pembacaan OOB
• parameter DHE dan ECDHE yang buruk menyebabkan client crash
• BN_mod_exp dapat menyebabkan hasil yang keliru di x86_64
• montgomery multiplication dapat mengakibatkan hasil yang keliru

Semua versi memiliki celah keamanan yang disebabkan oleh OpenSSL versi lama, namun celah tersebut tidak terlalu bahaya untuk pengguna Node.js

(rfs/nodejs)