Ûntwikkelers fan de server-side JavaSkript platfoarm Node.js korreksje releases 13.8.0, 12.15.0 en 10.19.0, dy't trije kwetsberens reparearje:
- CVE-2019-15606 - Ferkearde ôfhanneling fan opsjonele romtetekens (OWS) nei in wearde yn 'e HTTP-koptekst;
- CVE-2019-15605 - mooglikheid om in HRS-oanfal út te fieren (HTTP Request Smuggling, wig yn 'e ynhâld fan oare oanfragen ferwurke yn deselde tried tusken de frontend en backend) troch de oerdracht fan in spesjaal ûntwurpen Transfer-Encoding HTTP-header;
- CVE-2019-15604 is in op ôfstân triggere TLS-tsjinner crash fia de oerdracht fan in ferkearde tekenrige yn in sertifikaat.
Derneist is yn nije releases wurk dien om de feiligens fan 'e HTTP-parser te ferbetterjen en striktere parsing fan HTTP-fersyk-eleminten. De wiziging kin kompatibiliteitsproblemen feroarsaakje mei HTTP-ymplemintaasjes dy't de spesifikaasje skeine. Om de strange ferifikaasjemodus út te skeakeljen, wurde de ûnfeiligeHTTPParser-ynstelling en de kommandorigelopsje "-insecure-http-parser" foarsjoen.
Boarne: opennet.ru
