ニュース
「Node.js」にセキュリティ更新 ~全6件の脆弱性 「HTTP/2 Rapid Reset」にも対処済み
v18.18.2、v20.8.1へのアップデートを
2023年10月16日 13:17
「Node.js」のセキュリティアップデートが、10月13日にリリースされた。以下のバージョンへのアップデートが推奨されている。
今回のリリースでは、「undici」「nghttp2」といったライブラリがアップデートされた。とくに「nghttp2」では史上最大規模のDDoS攻撃を引き起こした「HTTP/2 Rapid Reset」脆弱性が対処されており、できるだけ早い適用をお勧めする。
- CVE-2023-45143:undici - Cookie headers are not cleared in cross-domain redirect in undici-fetch(High)
- CVE-2023-44487:nghttp2 - HTTP/2 Rapid Reset(High)
「Node.js」固有のセキュリティ修正は、以下の4件(括弧内は深刻度)。
- CVE-2023-39331:Permission model improperly protects against path traversal(High)
- CVE-2023-39332:Path traversal through path stored in Uint8Array(High)
- CVE-2023-38552:Integrity checks according to policies can be circumvented(Medium)
- CVE-2023-39333:Code injection via WebAssembly export names(Low)
「CVE-2023-39331」と「CVE-2023-39332」は「Node.js 20」シリーズに、それ以外は「Node.js 20」シリーズと「Node.js 18」シリーズの両方に影響する。「Node.js 16」は「OpenSSL 1.1.1」に合わせてサポート期間が7カ月短縮されており、セキュリティアップデートの提供はすでに終了しているので注意したい。