ニュース
「Node.js」にセキュリティ更新 ~全10件の脆弱性、最大深刻度は「High」
v16.20.1、v18.16.1、v20.3.1への更新を
2023年6月21日 13:49
「Node.js」の開発チームは6月21日、「Node.js」のセキュリティアップデートをリリースした。以下のバージョンへのアップデートが推奨されている。
今回のリリースで修正された脆弱性は、以下の10件(括弧内は深刻度)。
- CVE-2023-30581:mainModule.proto bypass experimental policy mechanism(High)
- CVE-2023-30584:Path traversal bypass in experimental permission model(High、Node.js 20のみ影響)
- CVE-2023-30587:Inspector protocol bypass the experimental permission model(Medium、Node.js 20のみ影響)
- CVE-2023-30582:fs.watchFile bypass in experimental permission model (High、Node.js 20のみ影響)
- CVE-2023-30583:fs.openAsBlob bypass in experimental permission model(Medium、Node.js 20のみ影響)
- CVE-2023-30585:Privilege escalation via Malicious Registry Key manipulation during Node.js installer repair process(Medium)
- CVE-2023-30586:OpenSSL engines can be used to bypass the permission model(Medium、Node.js 20のみ影響)
- CVE-2023-30588:Process interuption due to invalid Public Key information in x509 certificates(Medium)
- CVE-2023-30589:HTTP Request Smuggling via Empty headers separated by CR(Medium)
- CVE-2023-30590:DiffieHellman do not generate keys after setting a private key(Medium)
そのほかにも、3月以降の「OpenSSL」セキュリティアップデートや、「c-ares」のセキュリティアップデートが含まれている。