ニュース

「Node.js」の2020年9月セキュリティ更新 ~“Critical”1件を含む3件の脆弱性に対処

v10.22.1、v12.18.4、v14.11.0の各バージョンが公開

公式サイトのリリース

 「Node.js」の開発チームは9月15日、2020年9月のセキュリティリリースが利用可能になったと発表した。v10.22.1(Maintenance LTS)、v12.18.4(Active LTS)、v14.11.0(Current)の各バージョンが公開されている。

 今回のリリースで修正された脆弱性は、以下の3件。とくにリクエストの送信を遅延させるとサーバーが新規の接続を受け入れられなくなりる欠陥“CVE-2020-8251”は致命的で、深刻度“Critical”と評価されている。最新版ではこの対策として“requestTimeout”と呼ばれる新しい“http.Server”オプションが既定で“0”(無効)に設定されている。

  • CVE-2020-8201:HTTP Request Smuggling due to CR-to-Hyphen conversion(深刻度“High”)
  • CVE-2020-8251:Denial of Service by resource exhaustion CWE-400 due to unfinished HTTP/1.1 requests(深刻度“Critical”)
  • CVE-2020-8252:fs.realpath.native on may cause buffer overflow(深刻度“Medium”)

 なお、各リリースラインにおける脆弱性の深刻度の内訳は、以下の通り。v10.xのサポートは来年4月30日までとなっているので注意したい。

  • Node.js 14.x:Critical 1件、High 1件、Medium 1件
  • Node.js 12.x:High 1件、Medium 1件
  • Node.js 10.x:Medium 1件