ニュース
「Node.js」の2020年6月セキュリティ更新 ~CVE番号ベースで4件の脆弱性に対処
v10.21.0、v12.18.0、v14.4.0の各バージョンが公開
2020年6月3日 12:58
「Node.js」の開発チームは6月2日、2020年6月のセキュリティリリースが利用可能になったと発表した。v10.21.0(Maintenance LTS)、v12.18.0(Active LTS)、v14.4.0(Current)の各バージョンが公開されている。
今回のリリースで修正された脆弱性は、以下の4件。深刻度の内訳は“High”が3件、“Low”が1件。
- CVE-2020-8172:TLS session reuse can lead to host certificate verification bypass (深刻度“High”)
- CVE-2020-11080:HTTP/2 Large Settings Frame DoS(深刻度“Low”)
- CVE-2020-8174:napi_get_value_string_*() allows various kinds of memory corruption(深刻度“High”)
- CVE-2020-10531:ICU-20958 Prevent SEGV_MAPERR in append(深刻度“High”)
最後の“CVE-2020-10531”は特定バージョンの「International Components for Unicode」(ICU:Unicodeを扱うためのオープンソースライブラリ)に存在する問題で、v12/14には含まれていないため影響はない。v10でも悪用の方法は確認されていないが、念のため適用されているとのこと。
なお、「Node.js」のリリーススケジュールは新型コロナウイルス感染症(COVID-19)の影響により一部変更されているので注意したい。