Node.js가 libuv 취약점 및 Windows 권한 상승 문제 패치로 v16.x, v14.x, v12.x 버전 보안 업데이트 릴리스

Context

Node.js의 dns 모듈이 libuv의 uv__idna_toascii() 함수의 범위 초과 읽기 취약점으로 인해 정보 유출 또는 크래시 위험에 노출되어 있었다. Windows 플랫폼에서 설치 디렉토리의 부적절한 권한 설정으로 인해 PATH 하이재킹 및 DLL 하이재킹을 통한 로컬 권한 상승 공격이 가능했다.

Technical Solution

• libuv의 uv__idna_toascii() 함수 범위 초과 읽기 문제 패치: dns.lookup() 함수 호출 시 발생하는 CVE-2021-22918 취약점 수정
• Windows 설치 디렉토리 권한 설정 개선: PATH 및 DLL 하이재킹 공격 방지를 위한 CVE-2021-22921 패치
• npm 6 최신 버전 업데이트: 14.x 릴리스 라인의 ssri 및 hosted-git-info 모듈 DoS 취약점(GHSA-vx3p-948g-6vhq, CVE-2021-23362) 해결
• 다중 릴리스 라인 동시 패치: v16.x, v14.x, v12.x 모든 버전에 대한 보안 업데이트 동시 배포

Impact

v16.x 릴리스 라인은 2개의 중간(Medium) 심각도 보안 이슈 해결. v14.x 릴리스 라인은 2개의 중간(Medium) 심각도 보안 이슈 해결. v12.x 릴리스 라인은 1개의 높음(High) 심각도 이슈와 3개의 중간(Medium) 심각도 이슈 해결.

Key Takeaway

Node.js는 세 개의 활성 릴리스 라인에 걸쳐 동일 시점의 보안 패치 배포로 생태계 전체의 보안 일관성을 유지하는 전략을 취했다.