Desenvolupadors de la plataforma JavaScript del costat del servidor Node.js versions de correcció 13.8.0, 12.15.0 i 10.19.0, que arreglen tres vulnerabilitats:
- CVE-2019-15606: tractament incorrecte dels caràcters d'espai opcionals (OWS) després d'un valor a la capçalera HTTP;
- CVE-2019-15605 - possibilitat de dur a terme un atac HRS (contraban de sol·licituds HTTP, connectar-se al contingut d'altres peticions processades en el mateix fil entre el frontend i el backend) mitjançant la transmissió d'una capçalera HTTP de codificació de transferència dissenyada especialment;
- CVE-2019-15604 és un error del servidor TLS activat de manera remota mitjançant la transmissió d'una cadena incorrecta en un certificat.
A més, en les noves versions, s'ha treballat per millorar la seguretat de l'analitzador HTTP i un anàlisi més estricte dels elements de sol·licitud HTTP. El canvi pot provocar problemes de compatibilitat amb les implementacions HTTP que infringeixen l'especificació. Per desactivar el mode de verificació estricte, es proporcionen la configuració insecureHTTPParser i l'opció de línia d'ordres "—insecure-http-parser".
Font: opennet.ru