Nova izdanja Node.js 13.8, 12.15 i 10.19 sa popravljenim ranjivostima
Programeri JavaScript platforme na strani servera Node.js objavljeno ispravka izdanja 13.8.0, 12.15.0 i 10.19.0, koja popravljaju tri ranjivosti:
CVE-2019-15606 – Nepravilno rukovanje opcionim znakovima razmaka (OWS) nakon vrijednosti u HTTP zaglavlju;
CVE-2019-15605 - mogućnost izvođenja HRS napada (HTTP Request Smuggling, dozvoljava uglaviti se u sadržaj drugih zahtjeva obrađenih u istoj niti između frontenda i backenda) putem prijenosa posebno dizajniranog HTTP zaglavlja Transfer-Encoding;
CVE-2019-15604 je daljinski pokrenut pad TLS servera putem prijenosa neispravnog niza u certifikatu.
Osim toga, u novim izdanjima, rad je urađen na poboljšanju sigurnosti HTTP parsera i strožije raščlanjivanje elemenata HTTP zahtjeva. Promjena može uzrokovati probleme s kompatibilnošću s HTTP implementacijama koje krše specifikaciju. Da biste onemogućili režim stroge verifikacije, obezbeđena je postavka insecureHTTPParser i opcija komandne linije “—nesigurni-http-parser”.