🥇Нови версии на Node.js 13.8, 12.15 и 10.19 с коригирани уязвимости

Разработчици на сървърната JavaScript платформа Node.js публикувано издания за корекция 13.8.0, 12.15.0 и 10.19.0, които коригират три уязвимости:

CVE-2019-15606 – Неправилно обработване на незадължителни знаци за интервал (OWS) след стойност в HTTP заглавката;
CVE-2019-15605 - възможност за извършване на HRS атака (HTTP Request Smuggling, Тя позволява на вклиняване в съдържанието на други заявки, обработени в същата нишка между фронтенда и бекенда) чрез предаване на специално проектиран HTTP хедър за кодиране на трансфер;
CVE-2019-15604 е дистанционно задействан срив на TLS сървър чрез предаване на неправилен низ в сертификат.

В допълнение, в новите издания е направена работа за подобряване на сигурността на HTTP анализатора и по-стриктно анализиране на елементи на HTTP заявка. Промяната може да причини проблеми със съвместимостта с HTTP реализации, които нарушават спецификацията. За да деактивирате режима на стриктна проверка, са предоставени настройката insecureHTTPParser и опцията на командния ред „—insecure-http-parser“.

Източник: opennet.ru

Нови версии на Node.js 13.8, 12.15 и 10.19 с коригирани уязвимости

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар