ニュース
「Node.js」にセキュリティ更新 ~深刻度「High」2件を含む6件の脆弱性に対処
v14.20.1、v16.17.1、v18.9.1への更新を
2022年9月26日 16:28
「Node.js」の開発チームは9月23日、「Node.js」のセキュリティアップデートをリリースした。本来は22日に公開されるはずだったが、直前での変更を反映させるため、1日遅れでのリリースとなっている。
今回のリリースで修正された問題は、以下の通り。
- DNSリバインディングの欠陥「CVE-2022-32212」の修正がmacOS環境で不十分であった問題(High)
- HTTPリクエストスマグリングの欠陥「CVE-2022-32215」の修正が不十分であった問題(Medium)
- 「CVE-2022-32213」の修正が「obs-fold」を通じてバイパスできる問題(Medium)
- CVE-2022-35256:HTTPリクエストスマグリングの欠陥(Medium)
- CVE-2022-32222:macOSで「Node 18」がスタートアップ時に存在しない「openssl.cnf」を読み取ろうとする問題(Medium)。v16.x/14.xには影響しない
- CVE-2022-35255:WebCrypto keygenのランダム性が弱い問題(High)。14.xには影響しない
以下のバージョンへのアップデートが推奨されている。
- v14.20.1(LTS)
- v16.17.1(LTS)
- v18.9.1(Current)
今回のリリースで修正された脆弱性は以下の3件。いずれもv12、v14、v16リリースラインのすべてのバージョンに影響し、アップデートが推奨されている。