Node.js 16.20.1 LTS가 5개의 CVE 보안 취약점과 OpenSSL, c-ares 보안 업데이트로 정책 우회, 권한 상승, HTTP 요청 스머글링 공격 차단

Context

Node.js 16 LTS 운영 중인 프로덕션 환경에서 정책 메커니즘 우회, Windows 설치 프로세스 권한 상승, x509 인증서 처리 오류, HTTP 헤더 조작을 통한 요청 스머글링, DiffieHellman 키 생성 실패 등 5개의 보안 취약점이 발견되었다.

Technical Solution

• CVE-2023-30581: mainModule.proto 우회를 차단하여 Experimental Policy 메커니즘 보호
• CVE-2023-30585: Windows 인스톨러 수복 과정에서 악의적 레지스트리 키 조작으로 인한 권한 상승 방지
• CVE-2023-30588: 잘못된 Public Key 정보를 가진 x509 인증서에 의한 프로세스 중단 문제 해결
• CVE-2023-30589: 빈 줄 헤더로 구분된 CR을 활용한 HTTP 요청 스머글링 공격 차단
• CVE-2023-30590: private key 설정 후 DiffieHellman 키 생성 실패 문제 수정
• OpenSSL과 c-ares 라이브러리 보안 업데이트 적용

Key Takeaway

LTS 버전의 정기 보안 업데이트는 정책 메커니즘, 인증서 검증, HTTP 프로토콜 해석, 암호화 알고리즘 구현 등 런타임의 핵심 보안 영역을 다루므로 프로덕션 환경에서 즉시 적용이 필수적이다.