Programeri poslužiteljske JavaScript platforme Node.js ispravka izdanja 13.8.0, 12.15.0 i 10.19.0, koja popravljaju tri ranjivosti:
- CVE-2019-15606 – Neispravno rukovanje opcijskim razmacima (OWS) nakon vrijednosti u HTTP zaglavlju;
- CVE-2019-15605 - mogućnost izvođenja HRS napada (HTTP Request Smuggling, ubaciti se u sadržaj drugih zahtjeva koji se obrađuju u istoj niti između sučelja i pozadine) putem prijenosa posebno dizajniranog HTTP zaglavlja za kodiranje prijenosa;
- CVE-2019-15604 daljinski je pokrenut pad TLS poslužitelja putem prijenosa netočnog niza u certifikatu.
Osim toga, u novim izdanjima rađeno je na poboljšanju sigurnosti HTTP parsera i strožem analiziranju elemenata HTTP zahtjeva. Promjena može uzrokovati probleme s kompatibilnošću s HTTP implementacijama koje krše specifikaciju. Da biste onemogućili način stroge provjere, omogućena je postavka insecureHTTPParser i opcija naredbenog retka "—insecure-http-parser".
Izvor: opennet.ru