Entwickler der serverseitigen JavaScript-Plattform Node.js Korrekturversionen 13.8.0, 12.15.0 und 10.19.0, die drei Schwachstellen beheben:
- CVE-2019-15606 – Falsche Behandlung optionaler Leerzeichen (OWS) nach einem Wert im HTTP-Header;
- CVE-2019-15605 – Möglichkeit zur Durchführung eines HRS-Angriffs (HTTP Request Smuggling, sich in den Inhalt anderer Anfragen einfügen, die im selben Thread zwischen Frontend und Backend verarbeitet werden) durch die Übertragung eines speziell entwickelten Transfer-Encoding-HTTP-Headers;
- CVE-2019-15604 ist ein remote ausgelöster Absturz des TLS-Servers durch die Übertragung einer falschen Zeichenfolge in einem Zertifikat.
Darüber hinaus wurde in neuen Versionen an der Verbesserung der Sicherheit des HTTP-Parsers und einer strengeren Analyse von HTTP-Anforderungselementen gearbeitet. Die Änderung kann zu Kompatibilitätsproblemen mit HTTP-Implementierungen führen, die gegen die Spezifikation verstoßen. Um den strengen Verifizierungsmodus zu deaktivieren, stehen die Einstellung „insecureHTTPParser“ und die Befehlszeilenoption „—insecure-http-parser“ zur Verfügung.
Source: opennet.ru