Hönnuðir JavaScript kerfisins Node.js fyrir netþjóna Leiðréttingarútgáfur 13.8.0, 12.15.0 og 10.19.0, sem laga þrjá veikleika:
- CVE-2019-15606 - Röng meðhöndlun valfrjálsra bilstafna (OWS) á eftir gildi í HTTP haus;
- CVE-2019-15605 - Möguleiki á HRS árás (HTTP Request Smuggling), (fletta inn í innihald annarra beiðna sem eru unnar í sama flæði milli framenda og bakenda) með því að senda sérstaklega sniðinn flutningskóðunar HTTP haus;
- CVE-2019-15604 – TLS-þjónshrun var kallað fram af fjarlægum hætti með því að senda ógildan streng í vottorði.
Að auki hafa nýjar útgáfur bætt öryggi HTTP-þáttara og innleitt strangari greiningu á HTTP-beiðnaþáttum. Þessi breyting gæti leitt til samhæfingarvandamála við HTTP-útfærslur sem brjóta gegn kröfum forskriftarinnar. Til að slökkva á strangri greiningarstillingu skal nota stillinguna insecureHTTPParser og skipanalínuvalkostinn "--insecure-http-parser".
Heimild: opennet.ru
