「Node.js」の2021年2月セキュリティ更新 ～深刻度“Critical”を含む3件の脆弱性を修正

「Node.js」v15.10.0などがリリース

　「Node.js」の開発チームは2月23日、「Node.js」のセキュリティアップデートをリリースした。現在、以下のバージョンが利用可能。

• Node.js v10.24.0（LTS）
• Node.js v12.21.0（LTS）
• Node.js v14.16.0（LTS）
• Node.js v15.10.0（Current）

　今回のリリースで修正された脆弱性は以下の3件で、すべてのリリースラインに影響する。なかでも“CVE-2021-22883”は深刻度が“Critical”と評価されており、警戒が必要だ。

• CVE-2021-22883：HTTP2の“unknownProtocol”接続が多すぎるとリソース枯渇によりサービス拒否（DoS）が引き起こされる
• CVE-2021-22884：“--inspect”におけるDNSリバインディング
• CVE-2021-23840：CipherUpdateにおける整数オーバーフロー（OpenSSL）

　なお、v10系統は今年の4月30日でサポート終了を迎えるので注意したい。