Node.js가 8개의 보안 취약점(CVE)을 패치한 20.11.1 LTS 릴리스로 권한 상승, DoS 공격, 경로 조회 우회 방지

Context

Node.js 런타임 및 내장 라이브러리에서 권한 상승(privilege escalation), 서비스 거부(DoS) 공격, 경로 조회(path traversal) 우회 등 8개의 보안 취약점이 발견되었습니다.

Technical Solution

• CVE-2024-21892: Linux capabilities를 통한 코드 주입 및 권한 상승 취약점 패치
• CVE-2024-22019: HTTP 청크 확장(chunk extension) 처리에서 발생하는 무제한 읽기 기반 DoS 공격 방지
• CVE-2024-21896: Buffer 내부 monkey-patching을 통한 경로 조회 취약점 수정
• CVE-2024-22017: io_uring 사용 시 setuid()가 모든 권한을 제거하지 않는 문제 해결
• CVE-2024-21891: 부적절한 경로 조회 시퀀스 정제로 인한 권한 모델 우회 방지
• CVE-2024-21890: --allow-fs-read, --allow-fs-write의 와일드카드 처리 개선
• CVE-2024-22025: fetch() brotli 디코딩에서 리소스 고갈을 통한 DoS 공격 방지
• CVE-2023-46809: Marvin Attack(Bleichenbacher 타이밍 공격 변형) 패치
• undici 5.28.3, libuv 1.48.0, OpenSSL 3.0.13+quic1로 의존성 업데이트

Key Takeaway

Node.js LTS 버전의 보안 패치는 운영 중인 프로덕션 환경에서 권한 상승 및 서비스 거부 공격으로부터 보호하므로 정기적인 업데이트가 필수입니다.