Node.js가 2022년 11월 3일 보안 패치를 배포해 X.509 인증서 검증 버퍼 오버플로우 3건과 --inspect 리바인딩 우회 취약점 1건을 해결

Context

Node.js v14.x, v16.x, v18.x, v19.x 릴리스 라인에서 X.509 인증서 검증 단계와 디버거 검사 기능에 보안 취약점이 발견되었다. OpenSSL 3.0.0~3.0.6 버전의 알려진 취약점이 Node.js에도 영향을 미쳤으며, 별도의 DNS 리바인딩 공격 가능성도 발견되었다.

Technical Solution

• X.509 인증서의 이름 제약 검증 단계에서 발생하는 버퍼 오버플로우 수정: 악의적 이메일 주소로 4바이트 스택 오버플로우 공격 차단 (v18.x, v19.x 영향)
• OpenSSL 3.0.6+ 이상에서 발생하는 버퍼 오버플로우 수정: 점(.) 문자를 포함한 임의 바이트 스택 오버플로우 공격 차단 (v18.x, v19.x 영향)
• --inspect 플래그의 IP 주소 검증 강화: 8진수 형식 IP 주소(예: 1.09.0.0) 거부하여 DNS 리바인딩 공격 방지 (v14.x, v16.x, v18.x, v19.x 모두 영향)
• 모든 지원 중인 릴리스 라인(14.x, 16.x, 18.x, 19.x)에 대해 2022년 11월 3일 또는 그 이후 보안 업데이트 배포

Key Takeaway

X.509 인증서 검증 및 개발자 도구 인터페이스와 같은 보안 중요 컴포넌트는 입력값의 형식 검증(8진수 IP 주소 감지, 이메일 주소 길이 제한)을 통해 버퍼 오버플로우 공격을 사전 차단해야 한다.