「Node.js」に今年初めてのセキュリティアップデート

「Node.js」v18.18.2 などがリリース

　「Node.js」のセキュリティアップデートが、2月14日にリリースされた。以下のバージョンへのアップデートが推奨されている。

• Node v21.6.2 (Current)
• Node v20.11.1 (LTS)
• Node v18.19.1 (LTS)

　今回のリリースでは、既知の脆弱性に対処するために「libuv」「undici」といったライブラリがアップデートされた。「OpenSSL」のセキュリティ更新も含まれている。

　「Node.js」固有のセキュリティ修正は、以下の7件（括弧内は深刻度）。

• CVE-2024-21892：Code injection and privilege escalation through Linux capabilities（High）
• CVE-2024-22019：Reading unprocessed HTTP request with unbounded chunk extension allows DoS attacks（High）
• CVE-2024-21896：Path traversal by monkey-patching Buffer internals（High）
• CVE-2024-22017：setuid() does not drop all privileges due to io_uring（High）
• CVE-2023-46809：Node.js is vulnerable to the Marvin Attack（Medium）
• CVE-2024-21891：Multiple permission model bypasses due to improper path traversal sequence sanitization（Medium）
• CVE-2024-21890：Improper handling of wildcards in --allow-fs-read and --allow-fs-write（Medium）