Programeri JavaScript platforme na strani servera Node.js ispravka izdanja 13.8.0, 12.15.0 i 10.19.0, koja popravljaju tri ranjivosti:
- CVE-2019-15606 – Nepravilno rukovanje opcionim znakovima razmaka (OWS) nakon vrijednosti u HTTP zaglavlju;
- CVE-2019-15605 - mogućnost izvođenja HRS napada (HTTP Request Smuggling, uglaviti se u sadržaj drugih zahtjeva obrađenih u istoj niti između frontenda i backenda) putem prijenosa posebno dizajniranog HTTP zaglavlja Transfer-Encoding;
- CVE-2019-15604 je daljinski pokrenut pad TLS servera putem prijenosa neispravnog niza u certifikatu.
Osim toga, u novim izdanjima, rad je urađen na poboljšanju sigurnosti HTTP parsera i strožije raščlanjivanje elemenata HTTP zahtjeva. Promjena može uzrokovati probleme s kompatibilnošću s HTTP implementacijama koje krše specifikaciju. Da biste onemogućili režim stroge verifikacije, obezbeđena je postavka insecureHTTPParser i opcija komandne linije “—nesigurni-http-parser”.
izvor: opennet.ru