Node.js가 OpenSSL 3.0.11/3.0.12의 보안 패치 평가를 통해 Windows 플랫폼의 CVE-2023-4807 LOW 등급 취약점만 영향 범위 확정

Context

OpenSSL 3.0.11(2023년 9월 19일)과 3.0.12(2023년 10월 24일)에서 공개된 보안 취약점으로 인해 Node.js 프로젝트는 각 CVE의 영향 범위를 평가해야 했다.

Technical Solution

• CVE-2023-4807 취약점 평가: Windows 사용자에게만 영향을 미치는 LOW 등급 취약점으로 분류
• EVP_EncryptInit_ex2(), EVP_DecryptInit_ex2(), EVE_CipherInit_ex2() 함수 미사용 확인: Node.js 코어에서 해당 함수들을 사용하지 않고 내보내지 않음을 검증
• 네이티브 애드온 사용자 완화 전략 제공: 네이티브 애드온을 통해 해당 함수를 호출하는 사용자는 새로운 Node.js 릴리스 전까지 패치된 OpenSSL 버전에 동적으로 링크 가능
• 정기 릴리스 일정 적용: 패치를 일반 Node.js 정기 릴리스에 포함시키기로 결정

Key Takeaway

보안 취약점의 실제 영향 범위를 정확히 평가하는 것이 중요하며, 근본적으로 영향을 받지 않는 코드 경로에 대한 검증이 불필요한 긴급 대응을 방지할 수 있다.