ニュース

「Node.js」に今年初めてのセキュリティアップデート

「Node v21.6.2」「Node v20.11.1」などがリリース

「Node.js」v18.18.2 などがリリース

 「Node.js」のセキュリティアップデートが、2月14日にリリースされた。以下のバージョンへのアップデートが推奨されている。

 今回のリリースでは、既知の脆弱性に対処するために「libuv」「undici」といったライブラリがアップデートされた。「OpenSSL」のセキュリティ更新も含まれている。

 「Node.js」固有のセキュリティ修正は、以下の7件(括弧内は深刻度)。

  • CVE-2024-21892:Code injection and privilege escalation through Linux capabilities(High)
  • CVE-2024-22019:Reading unprocessed HTTP request with unbounded chunk extension allows DoS attacks(High)
  • CVE-2024-21896:Path traversal by monkey-patching Buffer internals(High)
  • CVE-2024-22017:setuid() does not drop all privileges due to io_uring(High)
  • CVE-2023-46809:Node.js is vulnerable to the Marvin Attack(Medium)
  • CVE-2024-21891:Multiple permission model bypasses due to improper path traversal sequence sanitization(Medium)
  • CVE-2024-21890:Improper handling of wildcards in --allow-fs-read and --allow-fs-write(Medium)