Node.js가 3개의 보안 취약점(CVE-2018-7167, CVE-2018-7161, CVE-2018-1000168)을 패치해 DoS 공격으로부터 버퍼, HTTP/2, nghttp2 레이어 보호

Context

Node.js 8.x LTS 버전에서 Buffer.fill() 호출 시 무한 대기 상태가 발생하고, HTTP/2 구현의 특정 정리 단계에서 크래시가 발생하는 문제가 있었습니다. nghttp2 라이브러리에도 DoS 취약점이 존재했습니다.

Technical Solution

• Buffer 모듈의 CVE-2018-7167 패치: Buffer.fill() 함수의 무한 대기 상태를 제거하여 프로세스 응답성 복구
• HTTP/2 모듈의 CVE-2018-7161 패치: cleanup 단계에서의 크래시 조건을 수정하여 비정상 종료 방지
• nghttp2 업그레이드: nghttp2를 1.32.0 버전으로 업그레이드하여 CVE-2018-1000168 DoS 취약점 제거
• 다중 플랫폼 배포: Windows(32/64-bit), macOS, Linux(6개 아키텍처), AIX, SmartOS 바이너리 제공

Impact

아티클에 정량적 성능 수치가 명시되지 않았습니다.

Key Takeaway

LTS 버전의 보안 패치는 버퍼 관리, 프로토콜 구현, 의존 라이브러리 세 계층의 DoS 취약점을 동시에 해결하는 것이 중요합니다. 단일 버전 업그레이드만으로는 부족하며, 핵심 컴포넌트의 깊은 재점검이 필요합니다.