A Node.js szerveroldali JavaScript platform fejlesztői A 13.8.0, 12.15.0 és 10.19.0 javítási kiadások, amelyek három sebezhetőséget javítanak ki:
- CVE-2019-15606 – A HTTP-fejlécben szereplő értéket követő opcionális szóköz karakterek (OWS) helytelen kezelése;
- CVE-2019-15605 - HRS támadás végrehajtásának lehetősége (HTTP Request Smuggling, beékelődik más kérések tartalmába, amelyeket ugyanabban a szálban dolgoznak fel a frontend és a backend között) egy speciálisan kialakított Transfer-Encoding HTTP-fejléc átvitelével;
- A CVE-2019-15604 egy távolról kiváltott TLS-kiszolgáló összeomlása egy tanúsítványban lévő helytelen karakterlánc továbbítása révén.
Emellett az új kiadásokban a HTTP-elemző biztonságának javítása és a HTTP-kérelem elemek szigorúbb elemzése is történt. A módosítás kompatibilitási problémákat okozhat a specifikációt sértő HTTP-megvalósításokkal. A szigorú ellenőrzési mód letiltásához az insecureHTTPParser beállítás és a parancssori „—insecure-http-parser” opció áll rendelkezésre.
Forrás: opennet.ru