ニュース
「Node.js」の2021年1月セキュリティ更新 ~CVE番号ベースで3件の脆弱性に対処
v10.23.1、v12.20.1、v14.15.4、v15.5.1の各バージョンが公開
2021年1月5日 12:19
「Node.js」の開発チームは1月4日、「Node v10.23.1(LTS)」「Node v12.20.1(LTS)」「Node v14.15.4(LTS)」「Node v15.5.1(Current)」を公開した。脆弱性に対処したセキュリティアップデートとなっている。
今回のリリースで修正された脆弱性は、以下の3件。ただし、CVE-2020-1971はv15.5.1に影響しない。
- CVE-2020-8265(深刻度:High):「TLSWrap」のメモリ解放後利用(use-after-free)。メモリ破損からサービス拒否などが引き起こされる恐れ
- CVE-2020-8287(深刻度:Low):HTTPリクエストスマグリング
- CVE-2020-1971(深刻度:High):「OpenSSL」におけるEDIPARTYNAME NULLポインタデリファレンス
なお、v10系統は今年の4月30日でサポート終了を迎えるので注意したい。