피드로 돌아가기
Node.js 24.17.0 (LTS)
Node.js BlogNode.js Blog
Security

Node.js 24.17.0 LTS: 12건의 취약점 해결을 통한 런타임 보안 강화

Node.js 24.17.0 (LTS)

2026년 6월 18일1intermediate

Context

런타임 내 TLS, Crypto, HTTP2 등 핵심 모듈에서 발견된 보안 취약점으로 인한 시스템 안정성 위협 상황. 특히 메모리 무제한 증가 및 인증 우회 가능성이 존재하는 설계적 결함 식별.

Technical Solution

  • TLS 서버 ID 검증 시 Hostname 정규화를 통한 인증 우회 방지 구조 적용
  • WebCrypto Cipher 출력 길이 제한 가드로 메모리 오버플로우 방어
  • HTTP2 originSet 크기 제한 설정을 통한 Unbounded Memory Growth 차단
  • SNI Context 매칭 로직의 Case-sensitivity 수정을 통한 정확한 컨텍스트 식별
  • NUL bytes 포함 Hostname 거부 로직 추가로 DNS/Net 계층의 인젝션 공격 방어
  • HTTP Agent 내 Response Queue Poisoning 해결을 통한 요청-응답 정합성 확보

- Node.js

2

4.x 버전 사용자 즉시 v

2

4.

1

7.0 LTS 업데이트 수행 - HTTP2 기반 서비스 운영 시 메모리 사용량 모니터링 및 제한 설정 검토 - TLS/SSL 인증서 검증 로직 내 Hostname 정규화 처리 여부 확인

원문 읽기