[Node.js] の2021年4月セキュリティ更新 ~深刻度“High”の脆弱性を3件修正

13/04/2021 - テクノロジー

v10.24.1、v12.22.1、v14.16.1、v15.14.0への更新を

[Node.js] の開発チームは4月6日、「Node.js」のセキュリティアップデートをリリースした。現在、以下のバージョンが利用可能。

  • Node.js v10.24.1(LTS)
  • Node.js v12.22.1(LTS)
  • Node.js v14.16.1(LTS)
  • Node.js v15.14.0(Current)

今回のリリースで修正された脆弱性は以下の3件。うち2件は「OpenSSL」に関するもので、すべてのリリースラインに影響する。残りの“CVE-2020-7774”は14.x、12.x、10.xに影響する。深刻度はいずれも“High”。

  • CVE-2021-3450:「OpenSSL 」におけるCA証明書チェックバイパス
  • CVE-2021-3449:「OpenSSL 」のsignature_algorithms処理におけるNULLポインター逆参照
  • CVE-2020-7774:「y18n」モジュールにおけるプロトタイプ汚染

なお、v10系統は今年の4月30日でサポート終了を迎えるので注意したい。

出典:https://forest.watch.impress.co.jp/docs/news/1316979.html

関連記事