የአገልጋይ ጎን ጃቫስክሪፕት መድረክ ገንቢዎች Node.js እርማት 13.8.0፣ 12.15.0 እና 10.19.0 ያወጣል፣ ይህም ሶስት ተጋላጭነቶችን ያስተካክላል፡
- CVE-2019-15606 - በኤችቲቲፒ አርዕስት ውስጥ ያለውን እሴት ተከትሎ የአማራጭ ቦታ ቁምፊዎችን (OWS) የተሳሳተ አያያዝ;
- CVE-2019-15605 - የኤችአርኤስ ጥቃትን የመፈፀም እድል (የኤችቲቲፒ ጥያቄ ኮንትሮባንድ ፣ በግንባር እና በኋለኛው መካከል ባለው ተመሳሳይ ክር ውስጥ ወደተሰሩት የሌሎች ጥያቄዎች ይዘቶች ውስጥ መግባት) በልዩ ሁኔታ የተነደፈ የማስተላለፊያ-ኢንኮዲንግ HTTP ራስጌ በማስተላለፍ;
- CVE-2019-15604 በርቀት የተቀሰቀሰ የTLS አገልጋይ ብልሽት በሰርቲፊኬት ውስጥ ትክክል ያልሆነ ሕብረቁምፊ በማስተላለፍ ነው።
በተጨማሪም፣ በአዲስ እትሞች የኤችቲቲፒ ተንታኝ ደህንነትን ለማሻሻል እና የኤችቲቲፒ ጥያቄ ክፍሎችን የበለጠ ጥብቅ የመተንተን ስራ ተሰርቷል። ለውጡ መግለጫውን ከሚጥሱ የኤችቲቲፒ ትግበራዎች ጋር የተኳሃኝነት ችግሮችን ሊያስከትል ይችላል። ጥብቅ የማረጋገጫ ሁነታን ለማሰናከል ደህንነቱ ያልተጠበቀ የHTTPParser መቼት እና የትዕዛዝ መስመር አማራጭ "-አስተማማኝ-http-parser" ቀርቧል።
ምንጭ: opennet.ru