Node.js 23.6.1이 4개 보안 취약점을 수정하며 InternalWorker 권한 모델 강화, HTTP2 메모리 누수 제거, Windows 경로 순회 공격 차단

Context

Node.js 권한 모델이 활성화된 환경에서 InternalWorker 사용으로 인한 권한 우회 위험이 존재했다. HTTP2 프로토콜에서 조기 연결 종료 시 메모리가 누수되었다. Windows 시스템에서 normalize() 함수가 경로 순회 공격에 취약했다.

Technical Solution

• InternalWorker 사용 시 권한 모델 활성화 상태에서 예외 발생: 권한 검증 논리에 InternalWorker 체크 로직 추가
• HTTP2 조기 종료 메모리 누수 제거: ERR_PROTO 에러 발생 시 메모리 정리 로직 보강
• Windows 경로 순회 공격 차단: path.normalize() 함수에 Windows 경로 검증 로직 추가
• undici 라이브러리 업데이트: fetch() 함수의 난수 생성 불충분 문제 해결

Key Takeaway

보안 릴리스는 개별 취약점 해결뿐 아니라 관련 컴포넌트(권한 모델, 프로토콜 상태 관리, 경로 검증)의 경계에서 발생하는 보안 결함을 종합적으로 차단하는 것이 중요하다.