「Node.js」の2020年9月セキュリティ更新 ～“Critical”1件を含む3件の脆弱性に対処

公式サイトのリリース

　「Node.js」の開発チームは9月15日、2020年9月のセキュリティリリースが利用可能になったと発表した。v10.22.1（Maintenance LTS）、v12.18.4（Active LTS）、v14.11.0（Current）の各バージョンが公開されている。

　今回のリリースで修正された脆弱性は、以下の3件。とくにリクエストの送信を遅延させるとサーバーが新規の接続を受け入れられなくなりる欠陥“CVE-2020-8251”は致命的で、深刻度“Critical”と評価されている。最新版ではこの対策として“requestTimeout”と呼ばれる新しい“http.Server”オプションが既定で“0”（無効）に設定されている。

• CVE-2020-8201：HTTP Request Smuggling due to CR-to-Hyphen conversion（深刻度“High”）
• CVE-2020-8251：Denial of Service by resource exhaustion CWE-400 due to unfinished HTTP/1.1 requests（深刻度“Critical”）
• CVE-2020-8252：fs.realpath.native on may cause buffer overflow（深刻度“Medium”）

　なお、各リリースラインにおける脆弱性の深刻度の内訳は、以下の通り。v10.xのサポートは来年4月30日までとなっているので注意したい。

• Node.js 14.x：Critical 1件、High 1件、Medium 1件
• Node.js 12.x：High 1件、Medium 1件
• Node.js 10.x：Medium 1件