Node.js v4.1.2에서 버퍼 메모리 누수, HTTP 헤더 인젝션 취약점, V8 디버깅 기능 3가지 결함을 동시 수정

Weekly Update - Oct 2nd, 2015

2015년 10월 2일5분intermediate

AI 요약

Context

Node.js v4.1.0에서 길이가 0인 버퍼 할당 시 다음 TypedArray 메모리가 0으로 초기화되지 않아 메모리 재사용을 통한 데이터 누수 위험이 발생했다. HTTP 응답의 addTrailers() 메서드에 개행 문자가 포함되면 HTTP 헤더 분할 공격(response-splitting)이 가능했다. V8 엔진의 post-mortem 디버깅 도구가 딕셔너리 속성을 사용하는 JavaScript 객체와 클로저 정보를 감지할 수 없었다.

실천 포인트

Node.js 기반 서비스를 v

1.0 이상에서 운영 중인 팀은 TypedArray를 버퍼 처리 또는 데이터 구조에 사용하는 경우 v

1.2로 즉시 업데이트해야 하며, HTTP 프록시나 게이트웨이 역할을 하는 애플리케이션은 응답 헤더에 사용자 입력값이 포함될 때 addTrailers() 호출 전 개행 문자 검증을 별도로 강화할 필요가 있다.

태그

#HTTP Headers #Buffer #Node.js #V8 #Security

원문 읽기