피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 6.14.4 LTS가 Buffer.write() UCS-2 인코딩 버그와 OpenSSL 1.0.2p 취약점 3개를 보안 패치로 수정
Node.js 6.14.4 (LTS)
AI 요약
Context
Node.js 6.14.4 LTS 런타임과 의존 라이브러리인 OpenSSL에서 보안 취약점이 발견되어 긴급 패치가 필요했다. Buffer 조작 및 암호화 라이브러리 수준의 결함으로 인한 원격 공격 가능성이 존재했다.
Technical Solution
- Buffer.write() 함수의 UCS-2 인코딩 처리에서 out-of-bounds 쓰기 버그 수정: CVE-2018-12115 대응
- OpenSSL을 1.0.2p 버전으로 업그레이드하여 DH 파라미터 처리 결함 제거: CVE-2018-0732 대응
- OpenSSL 1.0.2p 업그레이드로 ECDSA 키 추출 side-channel 공격 방어: CVE 미지정 취약점 대응
Key Takeaway
보안 릴리스는 정량적 성능 지표보다 취약점의 구체적 CVE 번호와 영향 범위를 명확히 지정하여 엔지니어들이 패치 적용의 우선순위를 판단할 수 있도록 해야 한다.
실천 포인트
Node.js
6.x LTS를 사용 중인 프로덕션 서비스에서는 Buffer.write() 함수로 UCS-2 문자 인코딩을 처리하거나 HTTPS/TLS 통신을 수행하는 경우,
6.
1
4.4 이상으로 즉시 업그레이드하여 out-of-bounds 접근 및 DH 파라미터 공격으로부터 보호받을 수 있다.