피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 21.7.2가 HTTP/2 서버 크래시와 HTTP 요청 스머글링 취약점 2개 해결
Node.js 21.7.2 (Current)
AI 요약
Context
Node.js HTTP/2 구현의 Http2Session 소멸자에서 어설션 실패로 인한 서버 크래시 문제가 존재했습니다. Content-Length 헤더 난독화를 통한 HTTP 요청 스머글링 공격으로 보안 위협이 있었습니다.
Technical Solution
- CVE-2024-27983 패치: Http2Session 소멸자의 어설션 실패 조건 제거로 HTTP/2 서버 안정성 강화
- CVE-2024-27982 패치: Content-Length 헤더 유효성 검증 로직 강화로 요청 스머글링 공격 방어
- llhttp를 9.2.1 버전으로 업그레이드하여 HTTP 파싱 안정성 개선
- undici를 6.11.1 버전으로 업그레이드하여 HTTP 클라이언트 보안 강화
Key Takeaway
Node.js 사용자는 본 보안 릴리즈로 즉시 업그레이드하여 HTTP/2 크래시와 요청 스머글링 공격으로부터 프로덕션 환경을 보호할 수 있습니다.
실천 포인트
HTTP/2 기반 서버를 운영하는 Node.js 프로덕션 환경에서는
2
1.
7.2 이상으로 업그레이드하여 서버 크래시 위험을 제거하고, 특히 멀티테넌시 시스템에서는 요청 스머글링 공격으로부터 데이터 보호를 강화할 수 있습니다.