「Node.js」の2020年6月セキュリティ更新 ～CVE番号ベースで4件の脆弱性に対処

公式サイトのリリース

　「Node.js」の開発チームは6月2日、2020年6月のセキュリティリリースが利用可能になったと発表した。v10.21.0（Maintenance LTS）、v12.18.0（Active LTS）、v14.4.0（Current）の各バージョンが公開されている。

　今回のリリースで修正された脆弱性は、以下の4件。深刻度の内訳は“High”が3件、“Low”が1件。

• CVE-2020-8172：TLS session reuse can lead to host certificate verification bypass （深刻度“High”）
• CVE-2020-11080：HTTP/2 Large Settings Frame DoS（深刻度“Low”）
• CVE-2020-8174：napi_get_value_string_*() allows various kinds of memory corruption（深刻度“High”）
• CVE-2020-10531：ICU-20958 Prevent SEGV_MAPERR in append（深刻度“High”）

　最後の“CVE-2020-10531”は特定バージョンの「International Components for Unicode」（ICU：Unicodeを扱うためのオープンソースライブラリ）に存在する問題で、v12/14には含まれていないため影響はない。v10でも悪用の方法は確認されていないが、念のため適用されているとのこと。

　なお、「Node.js」のリリーススケジュールは新型コロナウイルス感染症（COVID-19）の影響により一部変更されているので注意したい。