피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 16.13.2가 4개의 보안 취약점을 수정하여 인증서 검증 우회 및 프로토타입 오염 공격 방지
Node.js 16.13.2 (LTS)
AI 요약
Context
Node.js의 인증서 검증 로직에서 Subject Alternative Name(SAN) 타입을 임의로 수용하고 URI SAN을 올바르게 매칭하지 않아 name-constrained intermediates를 우회할 수 있었다. SAN을 문자열로 변환하는 과정에서 name constraints가 포함된 인증서 체인의 주입 취약점이 존재했으며, 다중값 Relative Distinguished Name(RDN) 처리 오류로 인해 Common Name 검증을 우회할 수 있었다. console.table() 함수의 형식화 로직에서 사용자 입력을 properties 매개변수로 전달할 때 proto 키를 통한 프로토타입 오염이 발생했다.
실천 포인트
Node.js 기반 서버 애플리케이션을 운영하는 팀은 CVE-2021-44531, CVE-2021-44532, CVE-2021-44533, CVE-2022-21824 취약점을 해결하기 위해
1
6.
1
3.2 이상으로 즉시 업그레이드해야 한다. 특히 HTTPS 통신에서 인증서 호스트명 검증을 수행하거나 동적 인증서 체인을 처리하는 시스템에서 우선 업그레이드하는 것이 중요하다.