Node.js zerbitzariaren aldeko JavaScript plataformaren garatzaileak 13.8.0, 12.15.0 eta 10.19.0 zuzenketa-argitalpenak, hiru ahultasun konpontzen dituztenak:
- CVE-2019-15606 - Aukerako zuriuneko karaktereak (OWS) oker kudeatzea HTTP goiburuko balio baten ondoren;
- CVE-2019-15605 - HRS erasoa egiteko aukera (HTTP Request Smuggling, txertatu frontend eta backend-aren artean hari berean prozesatutako beste eskaeren edukietan) bereziki diseinatutako Transfer-Encoding HTTP goiburu baten transmisioaren bidez;
- CVE-2019-15604 urrunetik abiarazitako TLS zerbitzariaren hutsegite bat da, ziurtagiri batean kate oker baten transmisioaren bidez.
Horrez gain, bertsio berrietan, HTTP analizatzailearen segurtasuna hobetzeko eta HTTP eskaera-elementuen analizaketa zorrotzagoa hobetzeko lana egin da. Aldaketak bateragarritasun arazoak sor ditzake zehaztapena urratzen duten HTTP inplementazioekin. Egiaztapen modu zorrotza desgaitzeko, insecureHTTPParser ezarpena eta "βinsecure-http-parser" komando-lerroko aukera eskaintzen dira.
Iturria: opennet.ru