「Node.js」にセキュリティ更新 ～全6件の脆弱性 「HTTP/2 Rapid Reset」にも対処済み

「Node.js」v18.18.2 などがリリース

　「Node.js」のセキュリティアップデートが、10月13日にリリースされた。以下のバージョンへのアップデートが推奨されている。

• Node v18.18.2 (LTS)
• Node v20.8.1 (Current)

　今回のリリースでは、「undici」「nghttp2」といったライブラリがアップデートされた。とくに「nghttp2」では史上最大規模のDDoS攻撃を引き起こした「HTTP/2 Rapid Reset」脆弱性が対処されており、できるだけ早い適用をお勧めする。

• CVE-2023-45143：undici - Cookie headers are not cleared in cross-domain redirect in undici-fetch（High）
• CVE-2023-44487：nghttp2 - HTTP/2 Rapid Reset（High）

　「Node.js」固有のセキュリティ修正は、以下の4件（括弧内は深刻度）。

• CVE-2023-39331：Permission model improperly protects against path traversal（High）
• CVE-2023-39332：Path traversal through path stored in Uint8Array（High）
• CVE-2023-38552：Integrity checks according to policies can be circumvented（Medium）
• CVE-2023-39333：Code injection via WebAssembly export names（Low）

　「CVE-2023-39331」と「CVE-2023-39332」は「Node.js 20」シリーズに、それ以外は「Node.js 20」シリーズと「Node.js 18」シリーズの両方に影響する。「Node.js 16」は「OpenSSL 1.1.1」に合わせてサポート期間が7カ月短縮されており、セキュリティアップデートの提供はすでに終了しているので注意したい。