Node.js가 V8의 UTF-8 디코더 out-of-band 쓰기 버그를 패치해 Buffer-String 변환 중 denial-of-service 공격 취약점 제거

Context

Node.js의 모든 Buffer에서 String으로의 변환 작업에서 V8의 UTF-8 디코더에 out-of-band 쓰기 버그가 존재했다. 이 버그는 denial of service 공격으로 악용될 수 있는 보안 취약점이었다.

Technical Solution

• V8 UTF-8 디코더의 out-of-band 쓰기 버그 수정: Buffer-String 변환 로직에서 메모리 경계를 초과하는 쓰기 작업 제거

Impact

Node.js 0.12.6 안정 버전 릴리스로 모든 Buffer-String 변환 작업의 보안 취약점 제거 완료

Key Takeaway

Buffer-String 변환은 Node.js 런타임에서 매우 빈번하게 발생하는 작업이므로 언어 엔진(V8) 수준의 버그 수정이 전체 애플리케이션 보안에 미치는 영향이 크다. 낮은 수준의 인코딩 로직 버그도 체계적인 보안 감시를 통해 발견하고 패치해야 한다.