Node.js 20.3.1이 10개의 CVE 패치로 실험 단계의 Policy 및 Permission 모델의 보안 취약점 해결

Context

Node.js의 실험 단계 정책 메커니즘과 권한 모델에서 다양한 우회 가능성이 발견되었다. 이는 mainModule.proto 조작, 경로 이동 공격, Inspector를 통한 우회, fs.openAsBlob() 악용 등 여러 벡터를 통해 발생 가능했다.

Technical Solution

• mainModule.proto 조작을 통한 정책 우회 차단: 프로토타입 체인 조작으로 실험 정책을 무효화하는 공격 방어
• 경로 이동 공격 완화: 실험 권한 모델에서 파일 시스템 접근 제한의 정규화 로직 강화
• Node.js Inspector 채널 제한: Inspector를 통한 권한 모델 우회 경로 폐쇄
• 파일 감시 권한 검증 추가: 권한 모델 미확인으로 인한 무단 파일 감시 차단
• fs.openAsBlob() 권한 게이트 추가: Blob 변환 메서드의 권한 모델 적용 범위 확대
• Windows 레지스트리 설치 프로세스 강화: 설치 중 악의적 레지스트리 조작을 통한 권한 상승 차단
• OpenSSL 엔진 격리: 임의 OpenSSL 엔진 로드를 통한 권한 모델 우회 방지
• x509 인증서 검증 강화: 잘못된 공개 키 정보로 인한 프로세스 중단 방어
• HTTP 헤더 파싱 개선: CR로만 분리된 빈 헤더를 이용한 요청 스머글링 방지
• DiffieHellman 키 생성 버그 수정: 개인 키 설정 후 새 키 생성 실패 문제 해결

Impact

해당 보안 업데이트 후 정량적 성능 지표나 측정 가능한 개선 수치는 아티클에 기재되지 않았다.

Key Takeaway

실험 단계의 보안 정책 모델은 다중 공격 벡터(프로토타입 조작, 동적 로드, 파서 우회)에 노출되므로, 프로덕션 배포 전에 복합 시나리오 테스트와 권한 게이트의 일관된 적용이 필수적이다.