ニュース

「Node.js」の2021年1月セキュリティ更新 ~CVE番号ベースで3件の脆弱性に対処

v10.23.1、v12.20.1、v14.15.4、v15.5.1の各バージョンが公開

「Node v15.5.1(Current)」

 「Node.js」の開発チームは1月4日、「Node v10.23.1(LTS)」「Node v12.20.1(LTS)」「Node v14.15.4(LTS)」「Node v15.5.1(Current)」を公開した。脆弱性に対処したセキュリティアップデートとなっている。

 今回のリリースで修正された脆弱性は、以下の3件。ただし、CVE-2020-1971はv15.5.1に影響しない。

  • CVE-2020-8265(深刻度:High):「TLSWrap」のメモリ解放後利用(use-after-free)。メモリ破損からサービス拒否などが引き起こされる恐れ
  • CVE-2020-8287(深刻度:Low):HTTPリクエストスマグリング
  • CVE-2020-1971(深刻度:High):「OpenSSL」におけるEDIPARTYNAME NULLポインタデリファレンス

 なお、v10系統は今年の4月30日でサポート終了を迎えるので注意したい。