ニュース
「Node.js」に「npm」由来の脆弱性、修正版のリリースを予告
本番環境で「npm」を実行しないように呼び掛け
2019年12月13日 15:09
サーバーサイドJavaScript環境「Node.js」を開発する米OpenJS Foundationは12日(現地時間)、「Node.js」にパッケージ管理システム「npm」由来の脆弱性が存在し、12月17日(協定世界時)以降に修正版をリリース予定であることを発表した。修正版はサポートされるすべてのバージョン(「Node.js 8」「Node.js 10」「Node.js 12」「Node.js 13」)で公開されるとのこと
「npm」で修正された脆弱性は2件あり、そのうち1件はv6.13.4より前のバージョンに存在し、インストール先にある既存のファイルを上書きできてしまうというもの。もう一方はv6.13.3より前のバージョンに存在し、パッケージをインストールするとパッケージのパブリッシャーにより任意のファイルへアクセスされたり、編集される可能性がある。
OpenJS Foundationは修正版を公開するまでの間「npm」をアドバイザリの指示に従って最新版のv6.13.4へ更新するとともに、一般的な法則として本番環境で「npm」を実行しないように呼び掛けている。