Node.js가 OpenSSL 1월 보안 업데이트를 정기 릴리스에 포함시켜 PKCS#12 파일 처리 관련 3개 CVE 대응

Context

OpenSSL 프로젝트가 1월 보안 공고에서 12개의 CVE를 공개했으며, 이 중 3개가 Node.js에 영향을 미친다. Node.js는 PFX(PKCS#12) 인증서 파일 처리 시 이들 취약점에 노출되어 있다. 공격을 위해서는 특별히 조작된 PFX 파일이 필요하므로 실제 공격 표면이 제한적이다.

Technical Solution

• PBMAC1 관련 취약점(CVE-2025-66199): Node.js v20.x의 OpenSSL 3.0.15는 PBMAC1 미지원으로 자동 면역, v22.x 이상(OpenSSL 3.5.4)은 영향을 받음
• PKCS12_parse() 내부 함수 취약점: 모든 Node.js 브랜치(v20.x~main)의 모든 OpenSSL 버전에서 영향을 받으며 정기 릴리스를 통해 대응
• EVP API 호출 취약점: Node.js가 EVP API를 사용하는 경우 안전한 경로를 통해 자동으로 보호됨
• 9개 CVE 제외 사유 확인: CMS API 미사용(CVE-2025-15467), SSL_CIPHER_find() 미호출(CVE-2025-15468), 커맨드라인 도구만 영향(CVE-2025-15469) 등으로 분류
• 보안 릴리스 대신 정기 릴리스 선택: 제한된 공격 표면(신뢰할 수 있는 로컬 소스에서만 PFX 파일 수신)을 고려하여 독립적 보안 릴리스가 아닌 예정된 정기 릴리스에 포함

Key Takeaway

Node.js가 OpenSSL 취약점의 실제 공격 표면을 정확히 분석해 보안 공고의 모든 CVE가 자신의 사용 사례에 영향을 미치지 않는지 확인하는 것이 중요하다. 신뢰할 수 있는 로컬 소스의 입력만 처리하는 경우 보안 영향도를 낮춰 평가할 수 있다.