피드로 돌아가기
Node.js BlogSecurity
원문 읽기
Node.js 24.17.0 LTS: 12건의 취약점 해결을 통한 런타임 보안 강화
Node.js 24.17.0 (LTS)
AI 요약
Context
런타임 내 TLS, Crypto, HTTP2 등 핵심 모듈에서 발견된 보안 취약점으로 인한 시스템 안정성 위협 상황. 특히 메모리 무제한 증가 및 인증 우회 가능성이 존재하는 설계적 결함 식별.
Technical Solution
- TLS 서버 ID 검증 시 Hostname 정규화를 통한 인증 우회 방지 구조 적용
- WebCrypto Cipher 출력 길이 제한 가드로 메모리 오버플로우 방어
- HTTP2 originSet 크기 제한 설정을 통한 Unbounded Memory Growth 차단
- SNI Context 매칭 로직의 Case-sensitivity 수정을 통한 정확한 컨텍스트 식별
- NUL bytes 포함 Hostname 거부 로직 추가로 DNS/Net 계층의 인젝션 공격 방어
- HTTP Agent 내 Response Queue Poisoning 해결을 통한 요청-응답 정합성 확보
실천 포인트
- Node.js
2
4.x 버전 사용자 즉시 v
2
4.
1
7.0 LTS 업데이트 수행 - HTTP2 기반 서비스 운영 시 메모리 사용량 모니터링 및 제한 설정 검토 - TLS/SSL 인증서 검증 로직 내 Hostname 정규화 처리 여부 확인