ニュース

「Node.js」にセキュリティ更新 ~深刻度「High」2件を含む6件の脆弱性に対処

v14.20.1、v16.17.1、v18.9.1への更新を

「Node.js」v18.9.1などがリリース

 「Node.js」の開発チームは9月23日、「Node.js」のセキュリティアップデートをリリースした。本来は22日に公開されるはずだったが、直前での変更を反映させるため、1日遅れでのリリースとなっている。

 今回のリリースで修正された問題は、以下の通り。

  • DNSリバインディングの欠陥「CVE-2022-32212」の修正がmacOS環境で不十分であった問題(High)
  • HTTPリクエストスマグリングの欠陥「CVE-2022-32215」の修正が不十分であった問題(Medium)
  • 「CVE-2022-32213」の修正が「obs-fold」を通じてバイパスできる問題(Medium)
  • CVE-2022-35256:HTTPリクエストスマグリングの欠陥(Medium)
  • CVE-2022-32222:macOSで「Node 18」がスタートアップ時に存在しない「openssl.cnf」を読み取ろうとする問題(Medium)。v16.x/14.xには影響しない
  • CVE-2022-35255:WebCrypto keygenのランダム性が弱い問題(High)。14.xには影響しない

 以下のバージョンへのアップデートが推奨されている。

  • v14.20.1(LTS)
  • v16.17.1(LTS)
  • v18.9.1(Current)

 今回のリリースで修正された脆弱性は以下の3件。いずれもv12、v14、v16リリースラインのすべてのバージョンに影響し、アップデートが推奨されている。