「Node.js」の2021年4月セキュリティ更新 ～深刻度“High”の脆弱性を3件修正

「Node.js」v15.14.0などがリリース

　「Node.js」の開発チームは4月6日、「Node.js」のセキュリティアップデートをリリースした。現在、以下のバージョンが利用可能。

• Node.js v10.24.1（LTS）
• Node.js v12.22.1（LTS）
• Node.js v14.16.1（LTS）
• Node.js v15.14.0（Current）

　今回のリリースで修正された脆弱性は以下の3件。うち2件は「OpenSSL」に関するもので、すべてのリリースラインに影響する。残りの“CVE-2020-7774”は14.x、12.x、10.xに影響する。深刻度はいずれも“High”。

• CVE-2021-3450：「OpenSSL 」におけるCA証明書チェックバイパス
• CVE-2021-3449：「OpenSSL 」のsignature_algorithms処理におけるNULLポインター逆参照
• CVE-2020-7774：「y18n」モジュールにおけるプロトタイプ汚染

　なお、v10系統は今年の4月30日でサポート終了を迎えるので注意したい。