Node.js 19.6.1이 3개의 CVE 취약점(OpenSSL 스택 오류, Experimental Policies 우회, ICU 데이터 안전 문제)을 수정하는 보안 업데이트 배포

Context

Node.js 19.6.1 이전 버전에서 OpenSSL 에러 스택 정리 실패, process.mainModule.require를 통한 Experimental Policies 정책 우회, ICU_DATA 환경 변수를 통한 부안전한 ICU 데이터 로딩 등 3가지 보안 취약점이 존재했습니다.

Technical Solution

• CVE-2023-23919 수정: OpenSSL 에러 스택에 누적된 미정리 에러로 인한 정보 노출 방지
• CVE-2023-23918 수정: process.mainModule.require 경로를 통한 Experimental Policies 정책 우회 차단
• CVE-2023-23920 수정: ICU_DATA 환경 변수의 임의 경로 데이터 로딩 제한으로 권한 상승 공격 방지
• OpenSSL 보안 업데이트 통합: 최신 OpenSSL security advisory 반영
• undici 보안 업데이트 통합: HTTP 클라이언트 라이브러리 취약점 패치

Key Takeaway

Node.js 의존 라이브러리(OpenSSL, undici)의 취약점을 빠르게 추적하고 번들된 버전을 정기적으로 업데이트하는 것이 런타임 보안 방어의 핵심입니다.