Vývojáři JavaScriptové platformy na straně serveru Node.js opravné verze 13.8.0, 12.15.0 a 10.19.0, které opravují tři zranitelnosti:
- CVE-2019-15606 – Nesprávné zpracování volitelných znaků mezer (OWS) za hodnotou v hlavičce HTTP;
- CVE-2019-15605 - možnost provedení HRS útoku (HTTP Request Smuggling, vklínění do obsahu jiných požadavků zpracovávaných ve stejném vlákně mezi frontend a backend) prostřednictvím přenosu speciálně navržené HTTP hlavičky Transfer-Encoding;
- CVE-2019-15604 je vzdáleně spuštěná havárie serveru TLS prostřednictvím přenosu nesprávného řetězce v certifikátu.
Kromě toho se v nových verzích pracovalo na zlepšení zabezpečení analyzátoru HTTP a přísnější analýze prvků požadavku HTTP. Změna může způsobit problémy s kompatibilitou s implementacemi HTTP, které porušují specifikaci. Chcete-li zakázat režim přísného ověřování, je k dispozici nastavení insecureHTTPParser a možnost příkazového řádku „—insecure-http-parser“.
Zdroj: opennet.ru