技術
約2分で読めます
【Node.js】セキュリティリリースが1月13日に再々延期 - 3件のHigh脆弱性を修正予定
2025年12月15日(月)に予定されていたNode.jsのセキュリティリリースが、2026年1月13日(火)に再々延期された。
延期の経緯
- 当初予定: 2025年12月15日(月)
- 第1回延期: 2025年12月18日(木) - 「特に難しいパッチ」の作業に時間を要しているため
- 第2回延期: 2026年1月7日(水) - ホリデーシーズンの混乱を避け、チームが十分な準備時間を確保するため
- 第3回延期: 2026年1月8日(木) - Node.jsテストCIの問題
- 第4回延期: 2026年1月13日(火) - バックポートテストとCITGM再実行のため。火曜日リリースはアジア太平洋地域のユーザーが営業時間内に対応できるようにするため
影響範囲
| リリースライン | High | Medium | Low |
|---|---|---|---|
| 25.x | 3 | - | 1 |
| 24.x | 3 | 1 | 1 |
| 22.x | 3 | 1 | 1 |
| 20.x | 3 | 1 | 1 |
すべてのリリースラインでHigh severity が3件含まれている。
End-of-Lifeバージョンも影響を受けるため、サポート対象バージョンへの移行を推奨。
現在のサポートバージョン
| 種別 | バージョン |
|---|---|
| 最新LTS | v24.12.0 |
| 最新リリース | v25.2.1 |
推奨アクション
- 2026年1月13日以降のリリースを待ってアップデート
- nodejs-secメーリングリストを購読して最新情報を受け取る
- サポート終了バージョンを使用している場合は、サポート対象バージョンへ移行
感想
パッチが難航しているなら、できてから公開すればいいのでは?と思わなくもない。ただ、事前に予告することで企業のIT部門がアップデート作業をスケジュールできるというメリットはある。
ホリデーシーズンを避けての延期は妥当な判断だと思う。年末年始にセキュリティアップデートを強いられるのは運用担当者にとってつらい。
High severity 3件の具体的な内容が気になるところ。1月7日のリリースを待つ。
2026年1月9日追記: さらに2回延期されて1月13日になった。「特に難しいパッチ」が1ヶ月近く引っ張られている。CIの問題が続いているようで、バックポートのテストに苦労している様子。急いでバグ入りパッチを出されるよりはマシだが、HIGH 3件を抱えたまま待つのは気持ち悪い。
2026年1月14日追記: ようやく公開された。詳細はNode.js 2026年1月セキュリティリリースを参照。