Node.js 0.8.27가 OpenSSL 1.0.0m 업데이트와 UTF-8 검증 강화로 보안 취약점 및 데이터 무결성 문제 해결

Context

Node.js는 OpenSSL의 보안 취약점(CVE-2014-0224)에 노출되어 있었다. Node.js가 유효하지 않은 UTF-8 문자열을 전송할 수 있어 클라이언트에서 예상치 못한 오류가 발생하는 문제가 있었다. 파일 읽기 작업 중 fstat() 호출 실패 시 파일이 제대로 닫히지 않는 리소스 누수 문제가 존재했다.

Technical Solution

• OpenSSL 1.0.0m으로 업데이트: CVE-2014-0224 보안 취약점 패치 적용
• UTF-8 검증 메커니즘 강화: 짝이 맞지 않는 서로게이트 쌍(unmatched surrogate pairs)을 미정의 UTF-8 문자로 자동 치환
• NODE_INVALID_UTF8 환경 변수 제공: 기존 동작이 필요한 경우 환경 변수 설정으로 레거시 기능 복원 가능
• TLS 풀 경합 조건 수정: Fedor Indutny에 의해 TLS 풀 사용 중 발생하는 race condition 해결
• fs.readFile() 오류 처리 개선: fstat() 실패 시 파일 디스크립터 명시적 종료 추가

Key Takeaway

유지보수 릴리스에서도 보안 패치와 함께 데이터 무결성 및 리소스 관리 개선이 동시에 진행되며, 하위 호환성 문제는 환경 변수로 대응할 수 있다.