Node.js 19.0.1이 X.509 이메일 주소 버퍼 오버플로우 및 DNS 리바인딩 취약점 3건을 패치해 보안 위험 해소

Context

Node.js 19.0.1 릴리스는 OpenSSL의 X.509 인증서 처리 과정에서 발견된 3개의 보안 취약점을 해결하기 위해 배포되었다. CVE-2022-3602와 CVE-2022-3786은 이메일 주소 필드 처리 시 발생하는 버퍼 오버플로우 문제로 높은 심각도를 가지고 있다. CVE-2022-43548은 --inspect 옵션 사용 시 DNS 리바인딩 공격을 통한 보안 우회 가능성을 나타낸다.

Technical Solution

• X.509 이메일 주소 4바이트 버퍼 오버플로우 수정: 인증서 파싱 시 고정 크기 버퍼 검증 로직 강화
• X.509 이메일 주소 가변 길이 버퍼 오버플로우 수정: 동적 메모리 할당 시 경계값 체크 추가
• DNS 리바인딩 검증 추가: --inspect 플래그 사용 시 Invalid Octal IP Address 형식 거부
• 10개 플랫폼 바이너리 배포: Windows(32/64-bit), macOS(Intel/Apple Silicon), Linux(x64/ARM/PPC/s390x), AIX 지원
• PGP 서명 기반 패키지 무결성 검증: 전체 배포판에 SHA256 해시 및 PGP 서명 제공

Key Takeaway

보안 취약점 패치는 단순히 코드 수정을 넘어 다중 아키텍처 지원 및 암호화 서명을 통한 배포판 무결성 검증이 필수적이다. Node.js와 같은 광범위한 런타임은 정기적인 OpenSSL 보안 업데이트를 추적하고 최대한 신속하게 통합해야 한다.