Node.js 22.22.0 LTS가 6가지 보안 취약점을 패치해 TLS 핸드셰이크 실패, 파일시스템 접근 제어 우회, 버퍼 메모리 누수 등을 차단

Context

Node.js 런타임과 표준 라이브러리에서 6개의 CVE 취약점이 발견되어 보안 업데이트가 필수적이었다. 이들은 TLS 소켓 핸들러 누락, 파일시스템 권한 검증 부재, 메모리 안전성 문제를 포함한다.

Technical Solution

• TLSSocket에 기본 에러 핸들러 추가: 핸드셰이크 실패 시 명시적 에러 처리로 미처리 예외 방지
• futimes 함수 비활성화: 권한 모델 활성화 시 파일 접근 시간 수정 불가로 제어
• Symlink API에 전체 읽기/쓰기 권한 요구: 심볼릭 링크 조작 권한을 명시적으로 검증
• async_hooks의 스택 오버플로우 예외 재발생: 비동기 훅에서 발생한 오버플로우 예외를 상위로 전파
• 안전하지 않은 버퍼 생성 리팩토링: 제로-필 토글 제거로 버퍼 초기화 동작을 단순화
• 콜백 예외 라우팅: 콜백 함수의 예외를 에러 핸들러를 통해 처리하도록 구조 변경

Key Takeaway

보안 릴리스는 단순히 패치 적용이 아니라 런타임의 핵심 계층(TLS, 파일시스템, 메모리 관리)에서 에러 처리와 권한 검증을 강화하는 설계 개선을 포함한다.