Node.js가 OpenSSL 상위 버전 보안 패치를 통합하여 BN_mod_sqrt() 무한 루프 취약점으로부터 v12.x, v14.x, v16.x, v17.x 모든 활성 릴리스 라인 보호

Context

OpenSSL 프로젝트가 2022년 3월 15일 HIGH 심각도 보안 결함 2건을 수정하는 OpenSSL 3.0.2 및 1.1.1n을 공개했다. Node.js v12.x, v14.x, v16.x는 OpenSSL v1.1.1을 사용하고 v17.x는 OpenSSL v3를 사용하므로 모든 활성 릴리스 라인이 이 업데이트의 영향을 받는다.

Technical Solution

• OpenSSL 상위 버전 패치를 Node.js에 통합: v12.x, v14.x, v16.x, v17.x 릴리스 라인에 OpenSSL 보안 업데이트 적용
• 인증서 파싱 중 발생하는 BN_mod_sqrt() 무한 루프 취약점 제거: OpenSSL 보안 권고 20220315 패치 적용
• 2022년 3월 17일 또는 직후 신규 버전 배포: 모든 지원 중인 릴리스 라인에서 동시 보안 릴리스 예정

Key Takeaway

상위 의존성(OpenSSL)의 보안 업데이트가 발생할 경우 런타임 환경(Node.js)은 모든 활성 버전 라인에서 즉시 통합하고 배포해야 하며, 이를 위해 보안 메일링 리스트 구독과 공식 보안 정책 모니터링이 필수다.