「Node.js」の2019年2月セキュリティ更新が公開 ～最大深刻度は“MODERATE”

公式サイトのリリース

　サーバーサイドJavaScript環境「Node.js」の最新版が、2月28日（協定世界時）に公開された。「Node.js」に固有のセキュリティ修正と、「OpenSSL」のアップデートが組み込まれている。

　今回修正された「Node.js」の脆弱性は、CVE番号ベースで3件。最大深刻度は“MODERATE”と評価されている。

・キープアライブを使用したSlowloris HTTPサービス拒否（DoS、CVE-2019-5737）：2018年11月に解決されたCVE-2018-12121の亜種。「Node.js 6」から「Node.js 11」までに影響し、深刻度は“LOW”
・キープアライブHTTP接続におけるサービス拒否（DoS、CVE-2019-5739）：「Node.js 6」にのみ影響する。深刻度は“MODERATE”
・「OpenSSL」がパディングオラクル攻撃を受ける欠陥（CVE-2019-1559）：「Node.js 6」「Node.js 8」に影響する。深刻度は“MODERATE”

　「Node.js」を利用中のユーザーは、以下の最新版へのアップデートが必要だ。最新版は現在、公式サイトからダウンロードできる。

• Node.js 11.10.1（Current）
• Node.js 10.15.2（LTS "Dubnium"）
• Node.js 8.15.1（LTS "Carbon"）
• Node.js 6.17.0（LTS "Boron"）