Node.jsとio.jsに重大な脆弱性

io.jsのブログに掲載された記事「Important security upgrades for node.js and io.js -Critical security releases for node.js and io.js-」が、Node.jsおよびio.jsに重要度の高い脆弱性が存在すると伝えた。7月4日に修正版が公開されていることから、古いバージョンを使用している場合は脆弱性が修正された最新版へのアップグレードの実施が推奨される。

修正されたバージョンはそれぞれ次のとおり。

node.js-v0.12.6
io.js-v2.3.3
io,js-v.1.8.3

今回発見された脆弱性は、V8 JavaScriptエンジンにおけるバッファデータからUTF8文字列への変換処理に不具合があり、細工されたデータを変換するとクラッシュするというもの。この不具合を悪用されると、細工された特定のデータを送り込まれることでソフトウェアがクラッシュするというDoS攻撃を実施できてしまう。

該当するバージョンを使用している場合には問題が修正されたバージョンへのアップデートの実施が推奨される。