Node.js 0.8.26이 HTTP 서버 보안 취약점과 crypto 모듈 메모리 누수를 수정한 유지보수 릴리스

Context

Node.js HTTP 서버 구현에 보안 취약점이 존재했으며, crypto 모듈에서 메모리 누수가 발생하고 있었다. HTTP 파이프라인 요청이 증가할 때 백프레셔 처리가 부족했다.

Technical Solution

• HTTP 서버 백프레셔 메커니즘 구현: 파이프라인 플러드 공격에 대한 백프레셔 제공 추가
• crypto 모듈 에러 스택 정리: OpenSSL 에러 스택을 처리 후 명시적으로 정리
• crypto 모듈 검증 실패 처리: verify 실패 시 에러 정리 로직 추가
• crypto 모듈 메모리 누수 해결: LoadPKCS12 함수의 메모리 누수 수정
• HTTP 파서 제어 메서드 노출: pause/resume 메서드를 파서에 노출하여 제어 가능하게 변경
• readline 모듈 입력 처리: 터미널 원시 모드 종료 전에 stdin을 일시 중지
• V8 엔진 업데이트: V8을 3.11.10.26으로 업그레이드

Key Takeaway

보안 취약점과 메모리 누수는 유지보수 릴리스를 통해 우선적으로 해결해야 하는 항목이며, 특히 HTTP 서버의 백프레셔 처리는 네트워크 기반 공격으로부터의 방어에 필수적이다.