io.js 1.8 と 2.3 の重要なパッチとイベント
今週は、3つのリリースを行いました。v2.3.2と、v1.8.3とv2.3.3の重要なセキュリティパッチです。完全なチェンジログは、GitHubで確認できます。v1.xのチェンジログはこちら。
メンテナンスリリース
- v8: UTF8デコーダのアウトオブバンドの記述を修正しました。 これは重要なセキュリティのアップデートです。 DoS攻撃を引き起こす可能性があったためです。
- openssl: 1.0.2b そして 1.0.2c にアップグレードしました。DHE中間者攻撃(Logjam)に対する防御を導入し、無限ループを引き起こすmalformed ECParameters(CVE-2015-1788)を修正しました。詳細についてはセキュリティ勧告をご覧ください。 (Shigeki Ohtsu) #1950 #1958
- build:
- Microsoft Visual C++ 2015でのコンパイルのサポートを開始しました。
- バイナリと共にヘッダーのみのターボールのビルドと配布を開始しました。
- build:
- Microsoft Visual C++ 2015でのコンパイルのサポートを開始しました。
- バイナリと共にヘッダーのみのターボールのビルドと配布を開始しました。
- deps: UTF8デコーダのアウトオブバンドの記述を修正しました。 これは重要なセキュリティのアップデートです。 DoS攻撃を引き起こす可能性があったためです。
現在の完全な既知の問題リストは https://github.com/nodejs/io.js/labels/confirmed-bug を参照してください。
beforeExitが実行されている最中の非参照のtimersに起因するいくつかの問題は、まだ解決されていません。詳細は #1264 を参照して下さい。- REPL 内のサロゲートペアがターミナルのフリーズを引き起こすことがあります。 #690
process.send()はドキュメントに記述されている通り、本来は同期的に実行されるはずですが、1.0.2にて発生した不具合により非同期的に呼び出されてしまうようになりました。詳細は #760 を、修正については #774 を参照して下さい。dns.setServers()を呼び出している間の DNS クエリが、進行中にアサーションに失敗してプロセスをクラッシュさせることがあります。#894url.resolveは2つの完全なホストを解決しようとした際に url の auth の部分を移動する可能性があります。詳細は #1435 を参照してください。
- Yosuke Furukawa は日本のプログラミングのコミュニティの中で1番大きいYAPC Asia 2015というイベントで、Node.jsの過去、現在、未来について話します。このイベントは東京で8月20日から22日まで開かれます。彼のトークは22日に行われます。トークの詳細については、こちらをご覧ください。
- セキュリティの問題がv8に見つかり、Node.js 0.12とio.jsの全てのバージョンのアプリケーションやサーバに対して、DoS攻撃に利用される可能性があります。重要なセキュリティのアップグレード(Node.js v0.12.6、 io.js 2.3.3 と io.js 1.8.3)がリリースされました。また、問題の詳細はブログの記事で読むことができます。もしio.jsをv1.8.2以下か、v2.3.2以下で運用している場合は、1.8.3か2.3.3にアップデートを行ってください。
- CascadiaJS のチケットが販売中です。7月8-10日にワシントン州にて開催されます。
- BrazilJS Conf のチケットが販売中です。8月21-22日にリオ・グランデ・ド・スール州のBarra Shopping Sulで開催されます。
- NodeConf EU のチケットが販売中です。9月6-9日にアイルランドのウォーターフォードにて開催されます。
- Node.js Italian Conference のチケットが販売中です。10月10日にイタリアのデゼンツァーノにて開催されます。
- JSConf CO が10月16-17日に、メデジンの Ruta N で開催されます。