ニュース

「Node.js」の2021年6月セキュリティ更新 ~深刻度「High」1件を含む4件の脆弱性を修正

v12.22.2、v14.17.2、v16.4.1への更新を

「Node.js」v16.4.1などがリリース

 「Node.js」の開発チームは7月1日、「Node.js」のセキュリティアップデートをリリースした。現在、以下のバージョンが利用可能。

  • Node.js v12.22.2(Maintenance LTS)
  • Node.js v14.17.2(Active LTS)
  • Node.js v16.4.1(Current)

 今回のリリースで修正された脆弱性は以下の4件。

  • CVE-2021-22918:「libuv」における境界外読み取り(深刻度:Medium)
  • CVE-2021-22921:Windows版インストーラーのローカル権限昇格(深刻度:Medium)
  • CVE-2021-27290:「ssri」パッケージにおける正規表現のサービス拒否(深刻度:High)
  • CVE-2021-23362:「hosted-git-info」パッケージにおける正規表現のサービス拒否(深刻度:Medium)

 「CVE-2021-22918」「CVE-2021-22921」はv16.x、v14.xおよびv12.xに影響する。「CVE-2021-27290」「CVE-2021-23362」はv12.xと最新の「npm 6」アップデートを含むv14.17.0より前のv14.xに影響するとのこと。