피드로 돌아가기
Node.js 22.23.0 (LTS)
Node.js BlogNode.js Blog
Security

Node.js 22.23.0 LTS: 12건의 보안 취약점 해결을 통한 런타임 안정성 강화

Node.js 22.23.0 (LTS)

2026년 6월 18일2intermediate

Context

Node.js 런타임의 TLS, Crypto, HTTP2 모듈에서 발견된 고위험군 취약점 해결이 필요한 상황. 특히 Unbounded Memory Growth 및 Hostname 검증 미흡으로 인한 보안 위협 존재.

Technical Solution

  • TLS 서버 ID 검증 시 Hostname 정규화를 통한 인증 우회 방지
  • WebCrypto Cipher 출력 길이에 대한 Guard 로직 적용으로 메모리 오버플로우 차단
  • HTTP2 originSet 크기에 상한선을 설정하여 무제한 메모리 증가 방지
  • DNS 및 Net 모듈에서 NUL 바이트가 포함된 Hostname 거부 로직 구현
  • http.Agent 내 Response Queue Poisoning 방지를 위한 큐 관리 로직 수정
  • Permission Model 기반의 FileHandle utimes 비활성화 및 process.chdir 처리 개선

1. LTS 버전의 Security Release 내역 중 사용 중인 모듈(TLS, HTTP2 등) 포함 여부 확인

2. CVE-2026-48619 등 Hostname 입력값 검증 로직의 최신 표준 적용 여부 검토

3. 메모리 누수 방지를 위한 Collection 및 Set의 Max Size 설정 원칙 적용

원문 읽기