「Node.js」にセキュリティ更新 ～全10件の脆弱性、最大深刻度は「High」

「Node.js」v18.16.1などがリリース

　「Node.js」の開発チームは6月21日、「Node.js」のセキュリティアップデートをリリースした。以下のバージョンへのアップデートが推奨されている。

• Node v16.20.1 (LTS)
• Node v18.16.1 (LTS)
• Node v20.3.1 (Current)

　今回のリリースで修正された脆弱性は、以下の10件（括弧内は深刻度）。

• CVE-2023-30581：mainModule.proto bypass experimental policy mechanism（High）
• CVE-2023-30584：Path traversal bypass in experimental permission model（High、Node.js 20のみ影響）
• CVE-2023-30587：Inspector protocol bypass the experimental permission model（Medium、Node.js 20のみ影響）
• CVE-2023-30582：fs.watchFile bypass in experimental permission model （High、Node.js 20のみ影響）
• CVE-2023-30583：fs.openAsBlob bypass in experimental permission model（Medium、Node.js 20のみ影響）
• CVE-2023-30585：Privilege escalation via Malicious Registry Key manipulation during Node.js installer repair process（Medium）
• CVE-2023-30586：OpenSSL engines can be used to bypass the permission model（Medium、Node.js 20のみ影響）
• CVE-2023-30588：Process interuption due to invalid Public Key information in x509 certificates（Medium）
• CVE-2023-30589：HTTP Request Smuggling via Empty headers separated by CR（Medium）
• CVE-2023-30590：DiffieHellman do not generate keys after setting a private key（Medium）

　そのほかにも、3月以降の「OpenSSL」セキュリティアップデートや、「c-ares」のセキュリティアップデートが含まれている。