Pengembang platform JavaScript sisi server Node.js rilis koreksi 13.8.0, 12.15.0 dan 10.19.0, yang memperbaiki tiga kerentanan:
- CVE-2019-15606 β Penanganan karakter spasi opsional (OWS) yang salah setelah nilai di header HTTP;
- CVE-2019-15605 - kemungkinan melakukan serangan HRS (Penyelundupan Permintaan HTTP, memasukkan konten permintaan lain yang diproses di thread yang sama antara frontend dan backend) melalui transmisi header HTTP Transfer-Encoding yang dirancang khusus;
- CVE-2019-15604 adalah kerusakan server TLS yang dipicu dari jarak jauh melalui transmisi string yang salah dalam sertifikat.
Selain itu, dalam rilis baru, pekerjaan telah dilakukan untuk meningkatkan keamanan parser HTTP dan penguraian elemen permintaan HTTP yang lebih ketat. Perubahan tersebut dapat menyebabkan masalah kompatibilitas dengan implementasi HTTP yang melanggar spesifikasi. Untuk menonaktifkan mode verifikasi ketat, pengaturan insecureHTTPParser dan opsi baris perintah ββinsecure-http-parserβ disediakan.
Sumber: opennet.ru