Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities
2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x/v20.x/v21.x に存在する、2つの脆弱性に対処するための重要なセキュリティ更新プログラムである。1つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、2つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。
脆弱性の説明
サーバ・クラッシュの脆弱性 CVE-2024-27983:この深刻度の高い脆弱性は、Node.js の HTTP/2 サーバに存在する。特別に細工したパケットを送信することで、この脆弱性を悪用する攻撃者は、メモリ破壊によるサーバ・クラッシュを引き起こし、サービス拒否 (DoS) 状態を生じる可能性がある。
HTTP リクエスト・スマグリングの脆弱性 CVE-2024-27982:この深刻度が中程度の脆弱性は、Node.js HTTP サーバに影響を及ぼす。Content-Length ヘッダーの前にスペースを挿入することで、攻撃者はサーバを騙してヘッダーを誤解させ、オリジナルのリクエスト・ボディー内に、2番目のリクエストとして悪意のアクションを忍び込ませることが可能となる。
影響と緊急性
これらの脆弱性により、深刻な混乱を引き起こす可能性がある。サーバ・クラッシュの脆弱性には、Node.js をベースに構築された Web アプリや API を麻痺させる可能性がある。また、HTTP リクエスト・スマグリングの脆弱性には、機密通信の傍受やトラフィックのリダイレクトを引き起こす可能性がある。本番環境で Node.js を実行している組織は、可能な限り早急に、提供されているパッチを適用すべきである。
呼びかけ
Node.js のバージョン 18.x/20.x/21.x のユーザーに強く推奨されるのは、これらの脆弱性を緩和するために、最新のアップデートをダウンロード/インストールすることである。このセキュリティ・リリースの詳細な情報に関しては、Node.js の公式 Web サイトを参照してほしい。
Node.js で、2つの脆弱性が発見されたとのことです。つい先日の 2024/02/15 にも、「Node.js の複数の脆弱性が FIX:広範な影響が指摘されている」という記事がポストされていますので、ご利用のチームは、ご注意ください。よろしければ、Node.js で検索も併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.