Perbaikan di Sejumlah Celah Kemanan, Node.js v6.7.0 dirilis

Diberitakan oleh Evan Lucas pada tanggal 28 September 2016 di Node.js News, Node.js v6.7.0 dirilis sebagai rilis penting karena alasan keamanan. Anda diharuskan untuk melihat rangkuman masalah keamanan di Node.js untuk menambah vulnerabilitas yang ada di versi sebelumnya.

Beberapa perubahan yang perlu diperhatikan antara lain:

• openssl
  • Pembaharuan ke 1.0.2i menyebabkan masalah ke Node.js
  • Pembaharuan ke 1.0.2j menyebabkan masalah ke Node.js termasuk masalah yang diakibatkan versi 1.0.2i dan menyebabkan crash ketika menggunakan CRLs
  • Mencabut dukungan pemuatan dinamis terhadap modul third-party engine. Peretas mungkin dapat meninjeksi kode berbaya saat runtime dengan menyembunyikannya sebagai dynamic engine module
• http, masalah argumen reason yang tidak tervalidasi dengan baik di ServerResponse.writeHead()
• buffer, zero-fill excess bytes di objek Buffer baru yang dibentuk dengan Buffer.concat() ketika menyediakan parameter totalLength yang menyebabkan kelebihan panjang dari objek Buffer yang asli
• src, memperbaiki kesalahan ketika melewatkan password kosong atau yang diberi salt ke crypto.pbkdf2()
• tls, memperbaiki validasi wildcard certificate
• v8, memperbaiki kesalahan saat regex pada frozen object rusak

(rfs/nodejs)