Développeurs de la plateforme JavaScript côté serveur Node.js versions de correction 13.8.0, 12.15.0 et 10.19.0, qui corrigent trois vulnérabilités :
- CVE-2019-15606 – Gestion incorrecte des caractères d'espacement facultatifs (OWS) après une valeur dans l'en-tête HTTP ;
- CVE-2019-15605 - possibilité de réaliser une attaque HRS (HTTP Request Smuggling, s'insérer dans le contenu d'autres requêtes traitées dans le même thread entre le frontend et le backend) via la transmission d'un en-tête HTTP Transfer-Encoding spécialement conçu ;
- CVE-2019-15604 est un crash de serveur TLS déclenché à distance via la transmission d'une chaîne incorrecte dans un certificat.
De plus, dans les nouvelles versions, des travaux ont été effectués pour améliorer la sécurité de l'analyseur HTTP et une analyse plus stricte des éléments de requête HTTP. Ce changement peut entraîner des problèmes de compatibilité avec les implémentations HTTP qui violent la spécification. Pour désactiver le mode de vérification stricte, le paramètre insecureHTTPParser et l'option de ligne de commande « -insecure-http-parser » sont fournis.
Source: opennet.ru