Node.js սերվերի կողմից JavaScript հարթակի մշակողները ուղղումը թողարկում է 13.8.0, 12.15.0 և 10.19.0, որոնք շտկում են երեք խոցելիություն.
- CVE-2019-15606 – HTTP վերնագրի արժեքին հետևող կամընտիր տիեզերական նիշերի (OWS) սխալ մշակում;
- CVE-2019-15605 - HRS հարձակում իրականացնելու հնարավորություն (HTTP Request Smuggling, խրվել այլ հարցումների բովանդակության մեջ, որոնք մշակվել են նույն շղթայում ճակատի և հետին մասի միջև) հատուկ մշակված Transfer-Encoding HTTP վերնագրի փոխանցման միջոցով.
- CVE-2019-15604-ը հեռակա կարգով գործարկված TLS սերվերի խափանում է վկայագրի մեջ սխալ տողի փոխանցման միջոցով:
Բացի այդ, նոր թողարկումներում աշխատանքներ են տարվել HTTP վերլուծիչի անվտանգությունը բարելավելու և HTTP հարցման տարրերի ավելի խիստ վերլուծության ուղղությամբ։ Փոփոխությունը կարող է առաջացնել HTTP-ի ներդրման հետ համատեղելիության հետ կապված խնդիրներ, որոնք խախտում են ճշգրտումը: Ստուգման խիստ ռեժիմն անջատելու համար տրամադրվում են insecureHTTPParser պարամետրը և հրամանի տող «—insecure-http-parser» տարբերակը։
Source: opennet.ru