OpenSSL に高危険度 CVE-2026-1234 — Node.js / Bun 利用者は要確認

要点

• OpenSSL の TLS ハンドシェイク処理に高危険度の脆弱性 CVE-2026-1234。
• Node.js 22.x, Bun 1.x が影響対象。Deno は独自 TLS のため非該当。
• パッチは OpenSSL 3.x 系で配布済み。コンテナイメージの再ビルド推奨。

詳細

OpenSSL の TLS 1.3 ハンドシェイク処理における境界チェックの不備により、細工されたクライアントヘッダーで RCE に至る可能性がある。

なぜ重要か（中級WEBエンジニア視点）

• 本番で Node.js / Bun を動かしているなら即時対応対象。
• docker pull だけで解決するケースが大半だが、固定タグを使っているイメージは手動更新が必要。
• 影響範囲の洗い出しは npm ls / bun pm ls では見えない（ランタイム同梱のため）ので、ベースイメージ側の確認を優先する。

関連記事

• （準備中）