プログラミング

PROGRAMMING

公開：2025-01-23

Node.jsが複数バージョンでセキュリティアップデートを公開、高中程度の3つの脆弱性に対処

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Node.jsの複数バージョンでセキュリティアップデートを公開
• 高中程度の深刻度を持つ3つの脆弱性に対処
• EOLバージョンにもCVE番号を付与開始

Node.jsのセキュリティアップデートの詳細

Node.jsプロジェクトは2025年1月21日に23.x、22.x、20.x、18.xの各リリースラインに対するセキュリティアップデートを公開した。このアップデートではundiciライブラリの脆弱性修正に加え、Worker permission bypassやPath traversalなどの重要な脆弱性に対処している。^[1]

今回のセキュリティアップデートでは、高深刻度の脆弱性CVE-2025-23083と中程度の深刻度を持つCVE-2025-23084およびCVE-2025-23085が修正された。これらの脆弱性は診断機能やWindows環境での特殊なパス処理、HTTP/2のメモリリークに関連する問題に対処するものだ。

また今回からはEnd-of-Life（EOL）バージョンに対してもCVE番号の付与が開始された。Node.js v17.x以前にはCVE-2025-23087、v19.xにはCVE-2025-23088、v21.xにはCVE-2025-23089が割り当てられ、セキュリティリスクの明確化が図られている。

Node.jsの最新バージョンとセキュリティ修正内容

Worker permission bypassについて

Worker permission bypassとは、診断機能を利用して内部ワーカースレッドにアクセスできる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• diagnostics_channelユーティリティを介したワーカースレッドの作成検知
• 内部ワーカーインスタンスへの不正アクセス
• コンストラクタの再利用による悪用の可能性

この脆弱性はNode.jsのパーミッションモデルを使用するユーザーに影響を与える重大な問題である。特にv20、v22、v23のアクティブなリリースラインでは、内部ワーカーの漏洩によって権限バイパスが可能になり、セキュリティリスクが発生する可能性がある。

Node.jsのセキュリティアップデートに関する考察

Node.jsの定期的なセキュリティアップデートは、エコシステム全体のセキュリティ強化に大きく貢献している。特にEOLバージョンへのCVE番号付与は、古いバージョンを使用し続けることのリスクを明確化し、アップデートの必要性を強調する効果的な取り組みである。

今後はサプライチェーン攻撃の増加に伴い、依存パッケージの脆弱性管理がより重要になってくるだろう。undiciライブラリの更新のように、Node.jsプロジェクトは依存関係のセキュリティ問題にも迅速に対応することが求められる。

また、Worker permission bypassのような権限に関する脆弱性は、マイクロサービスアーキテクチャの普及により重要性を増している。Node.jsコミュニティには、セキュリティと開発者の利便性のバランスを取りながら、より強固な権限モデルの構築が期待される。

参考サイト

1. ^ Node.js. 「Node.js — Tuesday January 21 2025 Security Releases」. https://nodejs.org/en/blog/vulnerability/january-2025-security-releases, (参照 25-01-23).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「プログラミング」に関するコラム一覧「プログラミング」に関するニュース一覧