ProHoster > Blog > nutizie internet > Nove versioni di Node.js 13.8, 12.15 Γ¨ 10.19 cΓΉ vulnerabilitΓ  fissate

Nove versioni di Node.js 13.8, 12.15 Γ¨ 10.19 cΓΉ vulnerabilitΓ  fissate

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ сСрвСрной JavaScript-ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Node.js publicatu ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ выпуски 13.8.0, 12.15.0 ΠΈ 10.19.0, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСны Ρ‚Ρ€ΠΈ уязвимости:

  • CVE-2019-15606 β€” нСкоррСктная ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° Π½Π΅ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… символов ΠΏΡ€ΠΎΠ±Π΅Π»Π° (OWS), ΠΈΠ΄ΡƒΡ‰ΠΈΡ… послС значСния Π² HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ΅;
  • CVE-2019-15605 β€” Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ провСдСния Π°Ρ‚Π°ΠΊΠΈ HRS (HTTP Request Smuggling, si permette di Π²ΠΊΠ»ΠΈΠ½ΠΈΠ²Π°Ρ‚ΡŒΡΡ Π² содСрТимоС Π΄Ρ€ΡƒΠ³ΠΈΡ… запросов, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅ΠΌΡ‹Ρ… Π² Ρ‚ΠΎΠΌ ΠΆΠ΅ ΠΏΠΎΡ‚ΠΎΠΊΠ΅ ΠΌΠ΅ΠΆΠ΄Ρƒ фронтэндом ΠΈ бэкСндом) Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ ΠΎΡ„ΠΎΡ€ΠΌΠ»Π΅Π½Π½ΠΎΠ³ΠΎ HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ° Transfer-Encoding;
  • CVE-2019-15604 β€” ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΉ ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎ ΠΊΡ€Π°Ρ… TLS-сСрвСра Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠΉ строки Π² сСртификатС.

ΠšΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ, Π² Π½ΠΎΠ²Ρ‹Ρ… выпусках ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° Ρ€Π°Π±ΠΎΡ‚Π° ΠΏΠΎ ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡŽ защищённости парсСра HTTP ΠΈ Π±ΠΎΠ»Π΅Π΅ строгому Ρ€Π°Π·Π±ΠΎΡ€Ρƒ элСмСнтов HTTP-запросов. ИзмСнСниС ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ°ΠΌ с ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΠΌΠΎΡΡ‚ΡŒΡŽ с рСализациями HTTP, Π½Π°Ρ€ΡƒΡˆΠ°ΡŽΡ‰ΠΈΠΌΠΈ трСбования спСцификаций. Для ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ Тёсткого Ρ€Π΅ΠΆΠΈΠΌΠ° ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ прСдусмотрСна настройка insecureHTTPParser ΠΈ опция ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строки Β«β€”insecure-http-parserΒ».

Source: opennet.ru

Add a comment