מהדורות חדשות של Node.js 13.8, 12.15 ו-10.19 עם פגיעויות מתוקנות

מפתחים של פלטפורמת JavaScript בצד השרת Node.js פורסם תיקון גרסאות 13.8.0, 12.15.0 ו- 10.19.0, אשר מתקנים שלוש נקודות תורפה:

• CVE-2019-15606 - טיפול שגוי בתווי רווח אופציונליים (OWS) בעקבות ערך בכותרת HTTP;
• CVE-2019-15605 - אפשרות לבצע מתקפת HRS (הברחת בקשת HTTP, היא מאפשרת להיצמד לתוכן של בקשות אחרות המעובדות באותו חוט בין הקצה הקדמי לחלק האחורי) באמצעות העברה של כותרת HTTP מסוג Transfer-Encoding;
• CVE-2019-15604 היא קריסת שרת TLS המופעלת מרחוק באמצעות שידור של מחרוזת שגויה בתעודה.

בנוסף, במהדורות חדשות נעשתה עבודה לשיפור האבטחה של מנתח HTTP וניתוח קפדני יותר של רכיבי בקשת HTTP. השינוי עלול לגרום לבעיות תאימות עם יישומי HTTP שמפרים את המפרט. כדי להשבית את מצב האימות הקפדני, מסופקות ההגדרה insecureHTTPParser ואפשרות שורת הפקודה "-insecure-http-parser".

מקור: OpenNet.ru