ニュース
「Node.js」にセキュリティ更新 ~最大深刻度は「High」
v14.21.3、v16.19.1、v18.14.1、v19.6.1への更新を
2023年2月17日 11:19
「Node.js」の開発チームは2月16日、「Node.js」のセキュリティアップデートをリリースした。以下のバージョンへのアップデートが推奨されている。
今回のリリースで修正された脆弱性は、以下の5件(括弧内は深刻度)。別途「OpenSSL」の脆弱性に対処するためのライブラリアップデートも行われている。
- CVE-2023-23918:「Node.js」のパーミッションポリシーが「process.mainModule」経由で回避できる(High)
- CVE-2023-23919:「OpenSSL」のエラーの扱いに不備があり、サービス拒否(DoS)状態に陥る(Medium)
- CVE-2023-23936:「Node.js」のFetch APIがホストヘッダーのCRLFインジェクションから保護されていない(Medium)
- CVE-2023-24807:「Node.js」のFetch APIが正規表現サービス拒否(ReDoS)に脆弱(Low)
- CVE-2023-23920:昇格した特権で実行すると「Node.js」がICUデータを検索して読み込む可能性がある(Low)
また、「Node.js 14」向けの「npm」アップデートも行われているとのこと。