피드로 돌아가기
Node.js BlogBackend
원문 읽기
Node.js 15.14.0이 3개의 고위험 보안 취약점(CVE-2021-3450, CVE-2021-3449, CVE-2020-7774) 패치와 6개의 SEMVER-MINOR 기능 추가로 네트워킹, 파일시스템, 암호화 모듈 확장
Node.js 15.14.0 (Current)
AI 요약
Context
Node.js 15.x 버전에서 OpenSSL 라이브러리의 CA 인증서 검증 우회, NULL 포인터 역참조, npm 패키지의 프로토타입 오염 취약점이 발견되어 즉각적인 패치가 필요했다.
Technical Solution
- OpenSSL을 1.1.1k+quic 버전으로 업그레이드하여 CVE-2021-3450(X509_V_FLAG_X509_STRICT를 통한 CA 인증서 검증 우회), CVE-2021-3449(signature_algorithms 처리 중 NULL 포인터 역참조) 해결
- npm을 최신 버전으로 업그레이드하고 y18n 패키지를 수정하여 CVE-2020-7774(프로토타입 오염 취약점) 해결
- fsPromises.writeFile에 비동기 이터레이터 지원 추가로 스트리밍 파일 쓰기 패턴 강화
- net.SocketAddress 클래스를 신규 추가하고 net.BlockList를 SocketAddress 객체 사용 및 복제 가능하도록 확장
- net과 tls 모듈에 AbortSignal 지원 추가로 연결 타임아웃 제어 개선
- readline.Interface에 AbortSignal 지원 추가하여 입력 대기 중단 기능 제공
Key Takeaway
보안 패치와 API 확장을 동시에 제공한 마이너 버전 릴리스로, OpenSSL과 npm 의존성 업데이트가 보안 체인의 핵심 요소이며, AbortSignal 지원 추가는 현대적인 JavaScript 취소(cancellation) 패턴 표준화의 일환이다.
실천 포인트
Node.js
1
5.x를 사용 중인 운영 환경에서는 CVE-2021-3450, CVE-2021-3449, CVE-2020-7774에 대한 노출도를 평가하여
1
5.
1
4.0 이상으로 즉시 업그레이드해야 하며, 새로운 Net.SocketAddress와 AbortSignal 지원을 활용하면 네트워크 연결 제어와 타임아웃 관리를 더 선언적으로 구현할 수 있다.