Node.js 18.14.1 LTS에서 5개의 CVE 패치로 권한 정책 우회, OpenSSL 에러 처리, CRLF 주입, ReDoS, ICU 데이터 로딩 취약점 제거

Context

Node.js 런타임에서 Permissions 정책 우회, OpenSSL 암호화 라이브러리 에러 처리 미흡, Fetch API의 CRLF 주입 방어 부재, 정규표현식 서비스 거부, 환경 변수를 통한 ICU 데이터 부안전 로딩 등 5개의 보안 취약점이 존재했다.

Technical Solution

• CVE-2023-23918: process.mainModule을 통한 Permissions 정책 우회 경로 차단
• CVE-2023-23919: OpenSSL 라이브러리의 crypto 모듈 에러 처리 로직 강화
• CVE-2023-23936: Fetch API의 Host 헤더에 대한 CRLF 인젝션 필터링 추가
• CVE-2023-24807: Fetch API Headers의 정규표현식 기반 ReDoS 취약점 패턴 제거
• CVE-2023-23920: ICU_DATA 환경 변수를 통한 비인가 ICU 데이터 로딩 제한
• OpenSSL 보안 업데이트 통합: 최신 OpenSSL 보안 권고사항 적용

Key Takeaway

LTS 버전의 정기적인 보안 패치는 프로덕션 환경의 런타임 보안을 유지하는 필수 요소이며, 권한 정책·암호화·네트워크 입력 검증·정규표현식 처리·환경 변수 관리 영역에서 다층 방어 체계를 구축해야 한다.