Node.js 21.6.2가 8개의 보안 취약점(CVE) 패치로 Linux 권한 상승, HTTP DoS, 경로 순회, 타이밍 공격 등 High~Medium 심각도 결함 제거

Context

Node.js는 Linux 권한 관리, HTTP 요청 처리, 파일시스템 접근 제어, 암호화 알고리즘 등 다양한 영역에서 보안 취약점이 누적되어 있었다. 이러한 결함들은 권한 상승, 서비스 거부 공격, 경로 순회 공격, 타이밍 기반 암호화 공격 등으로 악용될 수 있는 심각한 위험을 초래했다.

Technical Solution

• CVE-2024-21892: Linux capabilities를 통한 코드 주입 및 권한 상승 방지
• CVE-2024-22019: HTTP 청크 확장(chunk extension)의 무제한 처리로 인한 DoS 공격 차단
• CVE-2024-21896: Buffer 내부 monkey-patching을 통한 경로 순회 공격 방지
• CVE-2024-22017: io_uring 사용 시 setuid() 호출 후 전체 권한 미제거 문제 해결
• CVE-2023-46809: Marvin Attack(Bleichenbacher 타이밍 변형) 대응으로 PKCS#1 v1.5 패딩 보안 강화
• CVE-2024-21891: 경로 순회 시퀀스 살균 부실로 인한 권한 모델 우회 차단
• CVE-2024-21890: --allow-fs-read 및 --allow-fs-write 와일드카드 처리 개선
• CVE-2024-22025: fetch() 내 brotli 디코딩 리소스 고갈 방지
• undici를 5.28.3 버전으로 업데이트
• libuv를 1.48.0 버전으로 업데이트
• OpenSSL을 3.0.13+quic1 버전으로 업데이트

Key Takeaway

Node.js 프로덕션 환경에서는 보안 릴리스(Security release)의 적시 적용이 필수이며, 특히 권한 관리, 네트워크 요청 처리, 암호화 라이브러리 버전 관리 영역에 대한 정기적인 모니터링이 필요하다.