Luchd-leasachaidh an àrd-ùrlar JavaScript taobh an fhrithealaiche Node.js fuasglaidh ceartachaidh 13.8.0, 12.15.0 agus 10.19.0, a tha a' rèiteachadh trì so-leòntachd:
- CVE-2019-15606 - Làimhseachadh ceàrr air caractaran fànais roghainneil (OWS) às deidh luach ann am bann-cinn HTTP;
- CVE-2019-15605 - comasach air ionnsaigh HRS a dhèanamh (Mùchadh Iarrtas HTTP, wedge a-steach do shusbaint iarrtasan eile air an giullachd san aon snàithlean eadar an aghaidh agus an deireadh-aghaidh) tro bhith a’ gluasad bann-cinn HTTP Transfer-Encoding a chaidh a dhealbhadh gu sònraichte;
- Tha CVE-2019-15604 na thubaist frithealaiche TLS air a phiobrachadh air astar tro sgaoileadh sreang ceàrr ann an teisteanas.
A bharrachd air an sin, ann am brathan ùra, chaidh obair a dhèanamh gus tèarainteachd parser HTTP a leasachadh agus gus eileamaidean de iarrtasan HTTP a pharsadh nas cruaidhe. Dh’ fhaodadh an t-atharrachadh cùisean co-chòrdalachd adhbhrachadh le buileachadh HTTP a bhriseas an sònrachadh. Gus am modh dearbhaidh teann a dhì-cheadachadh, tha an suidheachadh mì-chinnteachHTTPParser agus an roghainn loidhne-àithne “-indsecure-http-parser” air an toirt seachad.
Source: fosgailtenet.ru