Desarrolladores de la plataforma JavaScript del lado del servidor Node.js versiones de corrección 13.8.0, 12.15.0 y 10.19.0, que corrigen tres vulnerabilidades:
- CVE-2019-15606: manejo incorrecto de caracteres de espacio opcionales (OWS) después de un valor en el encabezado HTTP;
- CVE-2019-15605 - posibilidad de realizar un ataque HRS (HTTP Request Smuggling, introducirse en el contenido de otras solicitudes procesadas en el mismo hilo entre el frontend y el backend) mediante la transmisión de un encabezado HTTP Transfer-Encoding especialmente diseñado;
- CVE-2019-15604 es una falla del servidor TLS desencadenada de forma remota mediante la transmisión de una cadena incorrecta en un certificado.
Además, en las nuevas versiones, se ha trabajado para mejorar la seguridad del analizador HTTP y un análisis más estricto de los elementos de solicitud HTTP. El cambio puede causar problemas de compatibilidad con implementaciones HTTP que violan la especificación. Para deshabilitar el modo de verificación estricta, se proporcionan la configuración insecureHTTPParser y la opción de línea de comando “—insecure-http-parser”.
Fuente: opennet.ru