مطورو منصة JavaScript من جانب الخادم Node.js إصدارات التصحيح 13.8.0 و12.15.0 و10.19.0، والتي تعمل على إصلاح ثلاث نقاط ضعف:
- CVE-2019-15606 – معالجة غير صحيحة لأحرف المسافة الاختيارية (OWS) التي تلي قيمة في رأس HTTP؛
- CVE-2019-15605 - إمكانية تنفيذ هجوم HRS (HTTP Request Smuggling, الدمج في محتويات الطلبات الأخرى التي تمت معالجتها في نفس الموضوع بين الواجهة الأمامية والخلفية) من خلال إرسال رأس HTTP مصمم خصيصًا لترميز النقل؛
- CVE-2019-15604 هو عطل في خادم TLS تم تشغيله عن بعد عبر إرسال سلسلة غير صحيحة في الشهادة.
بالإضافة إلى ذلك، في الإصدارات الجديدة، تم العمل على تحسين أمان محلل HTTP وتحليل أكثر صرامة لعناصر طلب HTTP. قد يتسبب هذا التغيير في حدوث مشكلات في التوافق مع تطبيقات HTTP التي تنتهك المواصفات. لتعطيل وضع التحقق الصارم، يتم توفير الإعداد غير الآمن HTTPParser وخيار سطر الأوامر "—insecure-http-parser".
المصدر: opennet.ru