Node.js가 V8 메모리 할당 취약점과 libuv 스레드 안전성 결함 패치로 v0.10~v6 전 버전 보안 업데이트 실행

Context

Node.js의 V8 엔진에서 Zone::New 함수가 특정 조건에서 메모리를 부정확하게 확장하여 버퍼 오버플로우 또는 원격 코드 실행을 유발할 수 있었다. Windows XP와 Windows 2003에서 libuv의 읽기/쓰기 잠금 구현 결함으로 인해 잘못된 스레드에서 CRITICAL_SECTION이 해제되어 정의되지 않은 동작이 발생할 수 있었다.

Technical Solution

• V8 5.0.71.47로 업그레이드하여 메모리 할당 취약점 제거: Node.js v6.2.0 이상에 적용되어 영향 제거
• libuv 1.7.4 이상에서 읽기/쓰기 잠금을 단순 뮤텍스로 교체: v4 이상에서 Windows XP/2003 스레드 안전성 문제 해결
• HTTP 처리 결함 패치 포함: 모든 Node.js 버전의 저수준 보안 결함 해결
• HTTP 클라이언트 패치 추가: 사용자 코드 작성 실수로 인한 애플리케이션 취약점 노출 방지
• 보안 절차에 따라 마이너 버전 증가로 배포: v6.3.0, v5.12.0, v4.5.0, v0.12.15, v0.10.46 출시

Impact

아티클에 정량적 성능 수치가 명시되어 있지 않음

Key Takeaway

보안 패치 적용 시 API 호환성 변경이 필요한 경우, 메이저 버전 업 대신 마이너 버전으로 배포하되 사용자에게 변경사항을 명확히 공지하고 영향도 평가 기간을 제공해야 한다. 특히 저수준 런타임 취약점(V8, libuv)은 상위 버전에서만 전체적으로 해결되므로 장기 유지보수 계획 수립이 필수다.