Release de segurança OpenSSL talvez necessite um lançamento de segurança do Node.js

por Sam Roberts,

Resumo

O projeto Node.js poderá lançar novas versões em todas as suas linhas suportadas logo na próxima semana para incorporar correções do OpenSSL. Por favor, continue lendo para mais detalhes

OpenSSL

O projeto OpenSSL anunciou essa semana que eles irão lançar as versões 1.0.2t e 1.1.1d no dia 10 de Setembro, UTC. A release corrigirá dois defeitos de segurança que foram classificados com severidade "BAIXA" na política de segurança, ou seja:

... problemas como os que afetam apenas o utilitário de linha de comando do openssl ou configurações improváveis.

O Node.js v8.x usa OpenSSL v1.0.2 e o Node.js v10.x e v12.x usam OpenSSL v1.1.1, portanto todas as linhas de release ativas são impactadas por essa atualização.

Nesta fase, devido ao embargo, a natureza exata desses problemas é incerta assim como o impacto que eles terão nos usuários do Node.js

Depois de avaliar o impacto no Node.js, será decidido se os problemas corrigidos necessitarão de releases de segurança imediatos do Node.js, ou se eles podem ser incluídos no cronograma de atualizações normalmente.

Por favor monitore o Google Group nodejs-sec para mais atualizações, incluindo uma decisão dentro de 24 horas depois da release do OpenSSL sobre o tempo de atualização, para saber de todos os detalhes dos defeitos sobre a eventual release: https://groups.google.com/forum/#!forum/nodejs-sec

Contato e futuras atualizações

A política de segurança atual do Node.js pode ser encontrada em https://nodejs.org/en/security/, incluindo informações sobre como reportar uma vulnerabilidade no Node.js.

Se inscreva para a lista de emails de baixo volume e apenas anúncios nodejs-sec em https://groups.google.com/forum/#!forum/nodejs-sec e fique por dentro das vulnerabilidades de segurança e atualizações relacionadas à segurança do Node.js e os projetos mantidos na organização nodejs no Github.

Retorne ao começo