피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 10.24.0 LTS가 HTTP2 unknownProtocol 무한 연결, DNS 리바인딩, OpenSSL 정수 오버플로우 3가지 보안 취약점 패치로 서비스 중단 공격 방지
Node.js 10.24.0 (LTS)
AI 요약
Context
Node.js 10.x LTS 버전에서 HTTP2 프로토콜 처리, DNS 리바인딩 보안, OpenSSL 암호화 연산 과정에서 3개의 보안 취약점이 발견되었다. 이 취약점들은 파일 디스크립터 고갈, 서비스 거부 공격, 정수 오버플로우를 유발할 수 있다.
Technical Solution
- CVE-2021-22883: HTTP2 unknownProtocol 연결 처리 개선으로 파일 디스크립터 누수 방지 및 과도한 메모리 사용 제거
- CVE-2021-22884: --inspect 화이트리스트에서 localhost6 제거로 DNS 리바인딩 공격 차단
- CVE-2021-23840: OpenSSL의 CipherUpdate 함수에서 Windows 32비트 환경의 정수 오버플로우 처리 수정
Key Takeaway
LTS 버전의 보안 패치는 프로토콜 처리 안정성, DNS 보안 설정, 플랫폼별 암호화 연산 정확성을 동시에 검증해야 한다.
실천 포인트
Node.js
1
0.x LTS를 운영 중인 환경에서는 v
1
0.
2
4.0으로 즉시 업그레이드하여 장시간 실행되는 HTTP2 서비스의 파일 디스크립터 누수를 방지하고, --inspect 디버거 접근 경로를 재검토해야 한다.