Node.js v6.9.0 LTSには、v6.xに固有の以下のセキュリティ修正が含まれています。

openssl.cnfの自動ロードの無効化: OPENSSL_CONF環境変数または現在のプラットフォームのデフォルトの場所から、OpenSSL構成ファイルの自動的なロードを試みないようにします。構成ファイルのロード試行が常にトリガーされるようにすると、デフォルトの場所にファイルを配置できる侵略者が、侵害されたOpenSSL構成をNode.jsプロセスにロードできる可能性があります。

パッチ適用済みのV8任意メモリ読み取り（CVE-2016-5172）: V8パーサーがスコープを不適切に処理した結果、攻撃者が細工されたJavaScriptコードを介して任意のメモリの場所から機密情報を取得する可能性があります。この脆弱性では、攻撃者がNode.jsプロセスで任意のJavaScriptコードを実行できることが必要とされます。

一意のv8_inspector WebSocketアドレスを作成します: インスペクターを実行するたびにUUIDを生成します。そうすることで、--inspectで実行している場合に、不正なクライアントがv8_inspectorポートを介してNode.jsプロセスに接続することを防ぐ、追加のセキュリティが提供されます。デバッグプロトコルにより、実行中のプロセスの内部への広範なアクセス、および任意のコードの実行が可能になるため、認証されたツールのみに接続を制限することが重要です。注意: Node.jsのv8_inspectorプロトコルは、まだ実験的な機能と見なされています。最初にJann Horn氏が報告した脆弱性。

これらの脆弱性はすべて、Node.jsユーザーにとっては重要度が低いと考えられていますが、Node.js v6.xのユーザーは早急にアップグレードする必要があります。

検出

FreeBSD: node.js -- 複数の脆弱性（27180c99-9b5c-11e6-b799-19bef72f4b7c）

medium Nessus プラグイン ID 94415

変更ログが見つかりません