Node.js 프로젝트가 OpenSSL 3.0.7의 보안 패치 적용으로 v18.x와 v19.x의 HIGH 심각도 취약점 대응

Context

OpenSSL 프로젝트가 2022년 11월 1일에 OpenSSL 3.0.7을 출시하여 HIGH 심각도의 보안 결함을 수정한다. Node.js v17.x, v18.x, v19.x는 OpenSSL v3를 사용하고 있어 영향을 받는다.

Technical Solution

• OpenSSL 상위 버전의 보안 패치를 Node.js 지원 릴리스 라인에 통합: 2022년 11월 첫 주에 새 버전 배포
• Node.js v18.x와 v19.x를 OpenSSL 3.0.7 기반으로 업데이트하여 HIGH 심각도 취약점 해결
• Node.js v14.x와 v16.x는 OpenSSL v3를 사용하지 않으므로 업데이트 불필요
• OpenSSL 릴리스 후 24시간 이내에 Node.js 보안 영향 평가를 수행하여 긴급 릴리스 필요성 판단
• nodejs-sec Google Group을 통해 보안 결함 상세 정보 및 릴리스 일정 공지

Key Takeaway

상위 의존성(OpenSSL)의 보안 패치 릴리스 시 영향받는 모든 지원 버전의 런타임을 신속하게 업데이트해야 하며, 공식 보안 채널을 통해 사전 공지와 평가 기간을 제공하는 것이 사용자의 신속한 대응을 돕는 핵심 원칙이다.