Ang mga developer sa server-side nga JavaScript platform nga Node.js Ang pagtul-id nagpagawas sa 13.8.0, 12.15.0 ug 10.19.0, nga nag-ayo sa tulo ka mga kahuyangan:
- CVE-2019-15606 β Sayop nga pagdumala sa opsyonal nga mga karakter sa wanang (OWS) nga nagsunod sa usa ka bili sa HTTP header;
- CVE-2019-15605 - posibilidad sa pag-atake sa HRS (HTTP Request Smuggling, wedge ngadto sa sulod sa ubang mga hangyo nga giproseso sa samang hilo tali sa frontend ug backend) pinaagi sa pagpadala sa usa ka espesyal nga gidisenyo Transfer-Encoding HTTP header;
- Ang CVE-2019-15604 usa ka remotely triggered TLS server crash pinaagi sa pagpasa sa sayop nga string sa usa ka certificate.
Dugang pa, sa mga bag-ong pagpagawas, gihimo ang trabaho aron mapaayo ang seguridad sa HTTP parser ug mas estrikto nga pag-parse sa mga elemento sa hangyo sa HTTP. Ang pagbag-o mahimong hinungdan sa mga isyu sa pagkaangay sa mga pagpatuman sa HTTP nga nakalapas sa detalye. Aron ma-disable ang estrikto nga verification mode, ang insecureHTTPParser setting ug ang command line nga opsyon "βinsecure-http-parser" gihatag.
Source: opennet.ru