Распрацоўнікі сервернай JavaScript-платформы Node.js якія карэктуюць выпускі 13.8.0, 12.15.0 і 10.19.0, у якіх ухіленыя тры ўразлівасці:
- CVE-2019-15606 - некарэктная апрацоўка неабавязковых сімвалаў прабелу (OWS), якія ідуць пасля значэння ў HTTP-загалоўку;
- CVE-2019-15605 - магчымасць правядзення нападу HRS (HTTP Request Smuggling, укліньвацца ў змесціва іншых запытаў, якія апрацоўваюцца ў тым жа струмені паміж фронтэндам і бэкэндам) праз перадачу спецыяльна аформленага HTTP-загалоўка Transfer-Encoding;
- CVE-2019-15604 - ініцыяваны выдалена крах TLS-сервера праз перадачу некарэктнага радка ў сертыфікаце.
Акрамя таго, у новых выпусках праведзена праца па падвышэнні абароненасці парсера HTTP і стражэйшаму разбору элементаў HTTP-запытаў. Змена можа прывесці да праблем з сумяшчальнасцю з рэалізацыямі HTTP, якія парушаюць патрабаванні спецыфікацый. Для адключэння жорсткага рэжыму праверкі прадугледжана настройка insecureHTTPParser і опцыя каманднага радка «insecure-http-parser».
Крыніца: opennet.ru