Server tərəfində JavaScript platforması olan Node.js tərtibatçıları korreksiya 13.8.0, 12.15.0 və 10.19.0 buraxılışları ilə üç zəifliyi aradan qaldırır:
- CVE-2019-15606 – HTTP başlığında bir dəyərdən sonra isteğe bağlı boşluq simvollarının (OWS) düzgün işləməməsi;
- CVE-2019-15605 - HRS hücumu həyata keçirmək imkanı (HTTP Request Qaçaqmalçılıq, xüsusi hazırlanmış Transfer-Encoding HTTP başlığının ötürülməsi yolu ilə frontend və backend arasında eyni mövzuda işlənmiş digər sorğuların məzmununa daxil olmaq;
- CVE-2019-15604 sertifikatda yanlış sətirin ötürülməsi nəticəsində uzaqdan işə salınmış TLS server qəzasıdır.
Bundan əlavə, yeni buraxılışlarda HTTP analizatorunun təhlükəsizliyinin yaxşılaşdırılması və HTTP sorğu elementlərinin daha ciddi təhlili üçün işlər görülüb. Dəyişiklik spesifikasiyanı pozan HTTP tətbiqləri ilə uyğunluq problemlərinə səbəb ola bilər. Ciddi yoxlama rejimini söndürmək üçün insecureHTTPParser parametri və “—insecure-http-parser” əmr xətti seçimi təmin edilir.
Mənbə: opennet.ru