ニュース

「Node.js」の2019年2月セキュリティ更新が公開 ~最大深刻度は“MODERATE”

「Node.js」に固有のセキュリティ修正と「OpenSSL」のアップデートを含む

公式サイトのリリース

 サーバーサイドJavaScript環境「Node.js」の最新版が、2月28日(協定世界時)に公開された。「Node.js」に固有のセキュリティ修正と、「OpenSSL」のアップデートが組み込まれている。

 今回修正された「Node.js」の脆弱性は、CVE番号ベースで3件。最大深刻度は“MODERATE”と評価されている。

・キープアライブを使用したSlowloris HTTPサービス拒否(DoS、CVE-2019-5737):2018年11月に解決されたCVE-2018-12121の亜種。「Node.js 6」から「Node.js 11」までに影響し、深刻度は“LOW”
・キープアライブHTTP接続におけるサービス拒否(DoS、CVE-2019-5739):「Node.js 6」にのみ影響する。深刻度は“MODERATE”
・「OpenSSL」がパディングオラクル攻撃を受ける欠陥(CVE-2019-1559):「Node.js 6」「Node.js 8」に影響する。深刻度は“MODERATE”

 「Node.js」を利用中のユーザーは、以下の最新版へのアップデートが必要だ。最新版は現在、公式サイトからダウンロードできる。

  • Node.js 11.10.1(Current)
  • Node.js 10.15.2(LTS "Dubnium")
  • Node.js 8.15.1(LTS "Carbon")
  • Node.js 6.17.0(LTS "Boron")