Node.js가 9월 2020 보안 업데이트로 HTTP 요청 스머글링, DoS 공격, 버퍼 오버플로우 3가지 취약점 해결

Context

Node.js의 HTTP 헤더 파싱 과정에서 캐리지 리턴을 하이픈으로 변환하여 HTTP Request Smuggling 공격에 취약했다. 또한 지연된 요청으로 인한 HTTP DoS 공격과 libuv의 realpath 구현에서 256바이트 이상의 경로 처리 시 버퍼 오버플로우가 발생 가능했다.

Technical Solution

• HTTP Request Smuggling 취약점: 캐리지 리턴 문자를 하이픈으로 변환하는 비표준 헤더 파싱 로직 제거
• HTTP DoS 취약점: http.Server에 requestTimeout 옵션 신규 추가, 기본값 0으로 설정하여 비활성화 상태에서 시작
• libuv 버퍼 오버플로우: realpath 구현에서 버퍼 크기 결정 로직 수정하여 256바이트 초과 경로 처리 지원

Key Takeaway

Node.js는 9월 15일 2020년에 v10.x, v12.x, v14.x 버전 라인에 대한 보안 패치를 릴리스했으며, 각 버전 라인별로 중대도가 다른 취약점들이 수정되었다.