Node.js가 X.509 인증서 Email Address 필드의 4바이트 및 가변 길이 버퍼 오버플로우 취약점 3건을 패치해 18.12.1 LTS 릴리스

Context

Node.js 런타임의 X.509 인증서 처리 로직에서 Email Address 필드를 파싱할 때 버퍼 경계 검증 부재로 인한 메모리 접근 취약점이 존재했다. 또한 --inspect 모드에서 유효하지 않은 8진법 IP 주소를 DNS rebinding 공격에 활용할 수 있는 경로가 있었다.

Technical Solution

• CVE-2022-3602: X.509 Email Address 4바이트 버퍼 오버플로우 패치 적용
• CVE-2022-3786: X.509 Email Address 가변 길이 버퍼 오버플로우 패치 적용
• CVE-2022-43548: --inspect 모드의 8진법 IP 주소 검증 강화로 DNS rebinding 공격 차단
• 10개 플랫폼(Windows 32/64비트, macOS Intel/Apple Silicon, Linux x64/ARM/PPC/s390x, AIX) 바이너리 배포
• PGP 서명을 통한 릴리스 파일 무결성 검증 제공

Impact

아티클에 보안 패치의 정량적 영향도(예: 공격 차단율, 성능 오버헤드)는 명시되지 않음.

Key Takeaway

LTS 릴리스에 대한 보안 취약점 패치는 여러 플랫폼 아키텍처를 아우르는 동시 배포와 암호학적 서명을 통한 무결성 보증이 필수이며, 인증서 파싱 같은 저수준 메모리 작업에서는 버퍼 경계 검증이 보안의 첫 방어선이다.