io.js가 v1.8.3과 v2.3.3 보안 패치 릴리스로 UTF-8 디코더 out-of-band 쓰기 취약점 및 OpenSSL Logjam 공격 대응

Context

io.js와 Node.js에서 UTF-8 디코더의 out-of-band 쓰기 취약점이 발견되어 서비스 거부 공격에 악용될 수 있었다. OpenSSL 버전 업그레이드 필요에 따라 DHE man-in-the-middle 보호(Logjam) 및 ECParameters 무한 루프 취약점(CVE-2015-1788) 대응이 긴급했다.

Technical Solution

• UTF-8 디코더 취약점 수정: deps 모듈의 out-of-band 쓰기 제거로 메모리 안전성 확보
• OpenSSL 업그레이드: 1.0.2b와 1.0.2c 버전으로 업데이트하여 DHE man-in-the-middle 공격 방어
• Microsoft Visual C++ 2015 컴파일 지원 추가: Windows 환경에서의 빌드 호환성 확대
• 헤더 전용 tarball 배포 시작: 바이너리와 함께 headers-only 패키지 제공으로 배포 옵션 다양화
• 보안 패치 버전: io.js v1.8.3, v2.3.3 및 Node.js v0.12.6 동시 릴리스

Impact

아티클에 정량적 성능 수치가 명시되지 않음.

Key Takeaway

런타임 보안 취약점은 즉시 패치 버전 릴리스로 대응해야 하며, 의존성(OpenSSL)의 보안 업데이트도 함께 고려한 통합적 보안 관리가 필수이다.