Node.js 0.12.11 LTS가 OpenSSL 1.0.1s 업그레이드와 http-parser 2.3.2 업데이트로 3건의 보안 취약점 패치

Context

Node.js 0.12.11은 보안 업데이트를 포함한 LTS 버전 릴리스로, OpenSSL의 저심각도 결함과 http 헤더 처리의 의도하지 않은 제약이 존재했다.

Technical Solution

• OpenSSL 1.0.1r에서 1.0.1s로 업그레이드: DSA 키 파싱 이중 해제(double-free) 결함 제거
• OpenSSL BN_hex2bn() 및 BN_dec2bn() 내부 함수의 메모리 손상 결함 수정: 드물지만 잘못된 메모리 접근 가능성 차단
• CacheBleed 사이드 채널 공격 취약점 패치: Intel Sandy Bridge 마이크로아키텍처에서 RSA 개인키 탈취 가능성 차단
• http-parser 2.3.2로 업데이트: 허용 가능한 HTTP 헤더 문자의 불필요하게 엄격한 제한 완화
• domains 모듈 에러 처리 개선: uncaughtException 이벤트 미발생 문제와 --abort-on-uncaught-exception 플래그 미작동 문제 수정

Impact

아티클에서 정량적 성능 지표를 제시하지 않음.

Key Takeaway

LTS 버전의 보안 업데이트는 의존성 라이브러리(OpenSSL, http-parser)의 근본적 취약점 수정과 함께 런타임 에러 처리 로직의 엣지 케이스를 동시에 해결해야 하며, 특히 마이크로아키텍처 수준의 사이드 채널 공격까지 대응 범위에 포함되어야 한다.