피드로 돌아가기
Node.js BlogBackend
원문 읽기
Node.js 14.17.4 LTS에서 CVE-2021-22930 HTTP/2 use-after-free 취약점 패치 및 ICU 국제화 기능 회귀 문제 수정
Node.js 14.17.4 (LTS)
AI 요약
Context
Node.js 14.17.0과 14.17.1에서 ICU 업데이트로 인한 국제화 기능 회귀 문제가 발생했다. HTTP/2 스트림 취소 시 메모리 해제 후 접근(use-after-free) 취약점이 존재했다.
Technical Solution
- CVE-2021-22930 HTTP/2 use-after-free 취약점 패치: 스트림 취소 처리 로직에서 메모리 접근 순서 수정
- ICU 라이브러리 관련 국제화 기능 회귀 해결: 14.17.0과 14.17.1에서 발생한 문제 수정
- 다중 플랫폼 지원: Windows(32/64-bit), macOS, Linux(x64, ARM, PPC, s390x), AIX 바이너리 배포
- PGP 서명 제공: 바이너리 무결성 검증을 위한 암호화 서명 포함
Key Takeaway
LTS 버전에서 보안 취약점과 회귀 문제는 신속하게 해결되어야 하며, 멀티 플랫폼 환경에서의 철저한 테스트가 필수다.
실천 포인트
Node.js 14 LTS를 사용하는 프로덕션 환경에서는
1
4.
1
7.4 이상으로 업그레이드하여 HTTP/2 스트림 취소 시 발생하는 메모리 안전 문제를 제거해야 하며, 특히 국제 문자 처리를 하는 애플리케이션은 ICU 관련 회귀 문제 해결을 확인한 후 업데이트하면 된다.