Debian 8 jessie では nodejs や libv8-3.14 パッケージのセキュリティアップデートが無いらしい Σ(゚∀゚ノ)
5.1.2. libv8 および Node.jp 界隈のエコシステムに対するセキュリティサポートの欠落
Node.js プラットフォームは、大量のセキュリティ問題が発生した libv8-3.14 上に構成されていますが、現状ではプロジェクト内およびセキュリティチーム内には、これから発生するであろう問題に対処するのに必要な大量の時間を費やすのに十分な興味と意思を持った作業者が存在していません。
残念なことに、これは libv8-3.14, nodejs, そして node-* 関連パッケージのエコシステムは、インターネットから取得した無毒化していないデータのような信頼できないコンテンツと共には現状利用しないようにすべきだということです。
追記しておくと、これらのパッケージは Jessie リリース期間中に一切のセキュリティ更新を受けることはありません。
第5章 jessie で知っておくべき問題点
Node.js のパッケージの面倒を見れる人が確保できないみたい。
しょうがないので、 Debian GNU/Linux で Node.js を使う代替案として nodebrew を使おうかなと思っている。
⇒ [ヅ] Debian に nodebrew をインストールして Node.js を使う (2015-05-02)
-
ref.
- 5.1.2. Lack of security support for the ecosystem around libv8 and Node.js
- Debian -- Details of package nodejs in jessie
- Debian -- Details of package libv8-3.14.5 in jessie
- [ヅ] Node.js で hello, world (2015-02-23) ← Debian wheezy に wheezy-backports からインストールした例
tags: debian security node.js
Posted by NI-Lab. (@nilab)
