피드로 돌아가기
Node.js 12.22.4 (LTS)
Node.js BlogNode.js Blog
Security

Node.js 12.22.4 LTS가 HTTP/2 스트림 취소 시 발생하는 use-after-free 메모리 버그(CVE-2021-22930)를 수정

Node.js 12.22.4 (LTS)

2021년 7월 29일2intermediate

AI 요약

Context

HTTP/2 프로토콜을 사용하는 Node.js 애플리케이션에서 스트림 취소 작업 중 해제된 메모리에 접근하는 use-after-free 취약점이 존재했다.

Technical Solution

  • HTTP/2 스트림 취소 핸들링 로직에서 메모리 해제 후 접근 문제를 수정
  • CVE-2021-22930으로 등록된 고위험도(High) 보안 취약점 패치 적용
  • Node.js 12.22.4 버전에서 수정사항 배포

Key Takeaway

HTTP/2 스트림 관리 코드에서 메모리 생명주기 관리가 중요하며, 스트림 취소와 같은 엣지 케이스에서의 메모리 안정성을 철저히 검증해야 한다.

실천 포인트

Node.js

1

2.x LTS를 사용 중인 프로덕션 환경에서는 HTTP/2를 활용하는 경우 즉시

1

2.

2

2.4 이상으로 업그레이드하여 스트림 취소 시 발생 가능한 메모리 손상으로 인한 크래시를 방지해야 한다.

태그

#Memory Safety#HTTP/2#CVE-2021-22930#Node.js#Security
원문 읽기