ProHoster > Blogi > netin uutisia > Node.js 13.8, 12.15 ja 10.19 uudet julkaisut, joissa haavoittuvuudet on korjattu
Node.js 13.8, 12.15 ja 10.19 uudet julkaisut, joissa haavoittuvuudet on korjattu
Palvelinpuolen JavaScript-alustan Node.js kehittäjät julkaistu korjausjulkaisut 13.8.0, 12.15.0 ja 10.19.0, jotka korjaavat kolme haavoittuvuutta:
CVE-2019-15606 – HTTP-otsikon arvon perässä olevien valinnaisten välilyöntien (OWS) virheellinen käsittely;
CVE-2019-15605 - mahdollisuus suorittaa HRS-hyökkäys (HTTP Request Smuggling, sen avulla kiilautua muiden pyyntöjen sisältöön, jotka käsitellään samassa säikeessä käyttöliittymän ja taustajärjestelmän välillä) lähettämällä erityisesti suunniteltu Transfer-Encoding HTTP-otsikko;
CVE-2019-15604 on etäkäynnistetty TLS-palvelimen kaatuminen varmenteessa olevan väärän merkkijonon lähettämisen kautta.
Lisäksi uusissa julkaisuissa on tehty työtä HTTP-jäsentimen turvallisuuden parantamiseksi ja HTTP-pyyntöelementtien tiukemmaksi jäsentämiseksi. Muutos voi aiheuttaa yhteensopivuusongelmia määrityksiä rikkovien HTTP-toteutusten kanssa. Tiukan vahvistustilan poistamiseksi käytöstä insecureHTTPParser -asetus ja komentorivivaihtoehto "—insecure-http-parser" ovat käytettävissä.