Node.js 10.22.1이 fs.realpath.native의 버퍼 오버플로우 취약점(CVE-2020-8252)을 수정한 보안 릴리스

Node.js 10.22.1 (LTS)

2020년 9월 15일2분beginner

AI 요약

Context

Node.js의 fs.realpath.native 함수에서 버퍼 오버플로우 취약점이 발견되었다. 이 취약점은 중복 심각도(Medium)로 분류되어 즉시 패치가 필요한 상황이었다.

fs.realpath.native 함수의 버퍼 오버플로우 보안 결함을 수정하여 메모리 안전성 강화
Windows(32/64-bit), macOS, Linux(x64, PPC LE, s390x), AIX, SmartOS, ARM(v6/v7/8) 등 10개 이상의 플랫폼에 대해 통일된 보안 패치 배포
설치 형식(MSI 인스톨러, 바이너리, 아카이브)을 다양화하여 배포 접근성 확대
PGP 서명과 SHA256 체크섬을 통해 다운로드 파일 무결성 검증 메커니즘 제공

보안 취약점은 단일 함수 수준의 결함이라도 프로덕션 환경의 데이터 무결성을 위협하므로, LTS 버전에 대해서는 모든 지원 플랫폼에서 일괄 배포하는 정책이 필수다.

실천 포인트

Node.js를 운영하는 팀에서는 CVE-2020-8252 취약점이 영향을 미치는 환경(특히 fs.realpath.native를 사용하는 파일 경로 처리)을 즉시 파악하고, 해당 서비스를 Node.js

2.1 이상으로 업그레이드해야 한다.

태그