セキュリティー更新
Node.js の脆弱性は Express に直接影響を与えます。そのため、Node.js の脆弱性の監視を続けて、必ず、安定した最新バージョンの Node.js を使用してください。
次のリストに、示されているバージョンの更新で修正された Express の脆弱性を列挙します。
注意: Expressでセキュリティ上の脆弱性を発見したと思われる場合は、セキュリティポリシーと手順を参照してください。
4.x
- 4.16.0
- 依存関係
forwardedは、脆弱性に対処するために更新されました。これは、req.host、req.hostname、req.ip、req.ips、req.protocolのAPIが使用されている場合、アプリケーションに影響を与える可能性があります。 - 依存関係
mimeは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。 - 依存関係
sendが更新され、Node.js 8.5.0の脆弱性に対する保護が提供されています。これは特定のNode.jsバージョン8.5.0でExpressを実行する場合にのみ影響します。
- 依存関係
- 4.15.5
- 4.15.3
- 依存関係
msは、脆弱性に対処するために更新されました。express.static、res.sendfile、およびres.sendFileのAPIで、信頼できない文字列が入力されmaxAgeオプションに渡されると、アプリケーションに影響を与える可能性があります。
- 依存関係
- 4.15.2
- 依存関係
qsは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。4.15.2へのアップデートは良い習慣ですが、この脆弱性に対処する必要はありません。
- 依存関係
- 4.11.1
express.static、res.sendfile、およびres.sendFileのルート・パス開示の脆弱性を修正しました。
- 4.10.7
express.staticのオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。
- 4.8.8
express.staticのディレクトリー・トラバーサルの脆弱性を修正しました (アドバイザリー、CVE-2014-6394)。
- 4.8.4
- Node.js 0.10 は、特定の状況で
fdをリークして、express.staticおよびres.sendfileに影響を及ぼす可能性があります。悪意ある要求によってfdがリークされ、最終的にEMFILEエラーが発生したり、サーバーが応答しなくなったりする可能性があります。
- Node.js 0.10 は、特定の状況で
- 4.8.0
- クエリストリングに極めて多数の索引が含まれる疎な配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
- 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。
3.x
Express 3.x はもうメンテナンスされていません
3.xの既知および未知のセキュリティ問題は、最終更新(2015年8月1日)以降は対処されていません。3.x系を使用することは安全であると見なされるべきではありません。
- 3.19.1
express.static、res.sendfile、およびres.sendFileのルート・パス開示の脆弱性を修正しました。
- 3.19.0
express.staticのオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。
- 3.16.10
express.staticのディレクトリー・トラバーサルの脆弱性を修正しました。
- 3.16.6
- Node.js 0.10 は、特定の状況で
fdをリークして、express.staticおよびres.sendfileに影響を及ぼす可能性があります。悪意ある要求によってfdがリークされ、最終的にEMFILEエラーが発生したり、サーバーが応答しなくなったりする可能性があります。
- Node.js 0.10 は、特定の状況で
- 3.16.0
- クエリストリングに極めて多数の索引が含まれる疎配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
- 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。
- 3.3.0
- サポートされていないメソッドのオーバーライドの 404 応答は、クロスサイト・スクリプティングの攻撃を受ける可能性がありました。