Udviklere af JavaScript-platformen på serversiden Node.js rettelsesudgivelser 13.8.0, 12.15.0 og 10.19.0, som løser tre sårbarheder:
- CVE-2019-15606 – Forkert håndtering af valgfri mellemrumstegn (OWS) efter en værdi i HTTP-headeren;
- CVE-2019-15605 - mulighed for at udføre et HRS-angreb (HTTP Request Smuggling, kile ind i indholdet af andre anmodninger behandlet i samme tråd mellem frontend og backend) gennem transmission af en specielt designet Transfer-Encoding HTTP header;
- CVE-2019-15604 er et fjernudløst TLS-servernedbrud via transmission af en forkert streng i et certifikat.
Derudover er der i nye udgivelser blevet arbejdet på at forbedre sikkerheden i HTTP-parseren og mere stringent parsing af HTTP-anmodningselementer. Ændringen kan forårsage kompatibilitetsproblemer med HTTP-implementeringer, der overtræder specifikationen. For at deaktivere den strenge verifikationstilstand er insecureHTTPParser-indstillingen og kommandolinjeindstillingen "—insecure-http-parser" tilvejebragt.
Kilde: opennet.ru