Node.js가 2023년 10월 13일 보안 릴리스로 Undici의 Cross-Origin Redirect 쿠키 누출, HTTP/2 DoS, 경로 순회, 정책 무결성 검증 우회 등 6개 취약점 패치

Context

Node.js v18.x와 v20.x 릴리스 라인에서 Undici, nghttp2 라이브러리와 Node.js 자체 기능에서 발견된 보안 취약점들이 프로덕션 환경에 위험을 야기하고 있었다.

Technical Solution

• Undici의 Cross-Origin Redirect 처리: 쿠키 헤더를 모든 리다이렉트 요청에서 자동으로 제거하도록 구현
• HTTP/2 스트림 생성 및 취소 제한: HEADERS 프레임 직후 RST_STREAM을 무한정 전송하는 공격을 방어하기 위해 스트림 생성 속도 제한 추가
• 경로 순회 방어 강화: Buffer 객체뿐만 아니라 non-Buffer Uint8Array 객체도 경로 순회 검증 대상으로 포함
• 정책 메커니즘 무결성 검증 강화: 내장 유틸리티 함수 오버라이팅을 감지하여 정책 체크섬 위변조 차단
• WebAssembly 모듈 export 이름 검증: 악의적으로 조작된 export 이름으로부터 JavaScript 코드 주입 방지

Key Takeaway

실험 기능(Permission Model, Policy Mechanism)과 표준 라이브러리(Undici, nghttp2)의 보안 취약점은 일반적인 사용자 입력 검증뿐만 아니라 내장 함수 오버라이팅, 비표준 타입 변환 등 우회 경로까지 고려하여 다층 방어로 구현해야 한다.