Palvelinpuolen JavaScript-alustan Node.js kehittäjät korjausjulkaisut 13.8.0, 12.15.0 ja 10.19.0, jotka korjaavat kolme haavoittuvuutta:
- CVE-2019-15606 – HTTP-otsikon arvon perässä olevien valinnaisten välilyöntien (OWS) virheellinen käsittely;
- CVE-2019-15605 - mahdollisuus suorittaa HRS-hyökkäys (HTTP Request Smuggling, kiilautua muiden pyyntöjen sisältöön, jotka käsitellään samassa säikeessä käyttöliittymän ja taustajärjestelmän välillä) lähettämällä erityisesti suunniteltu Transfer-Encoding HTTP-otsikko;
- CVE-2019-15604 on etäkäynnistetty TLS-palvelimen kaatuminen varmenteessa olevan väärän merkkijonon lähettämisen kautta.
Lisäksi uusissa julkaisuissa on tehty työtä HTTP-jäsentimen turvallisuuden parantamiseksi ja HTTP-pyyntöelementtien tiukemmaksi jäsentämiseksi. Muutos voi aiheuttaa yhteensopivuusongelmia määrityksiä rikkovien HTTP-toteutusten kanssa. Tiukan vahvistustilan poistamiseksi käytöstä insecureHTTPParser -asetus ja komentorivivaihtoehto "—insecure-http-parser" ovat käytettävissä.
Lähde: opennet.ru