サーバーサイド JavaScript プラットフォーム Node.js の開発者 修正リリース 13.8.0、12.15.0、および 10.19.0 では、XNUMX つの脆弱性が修正されています。
- CVE-2019-15606 – HTTP ヘッダーの値に続くオプションのスペース文字 (OWS) の処理が正しくありません。
- CVE-2019-15605 - HRS 攻撃を実行する可能性 (HTTP リクエストの密輸、 特別に設計された Transfer-Encoding HTTP ヘッダーの送信を通じて、フロントエンドとバックエンドの間の同じスレッドで処理される他のリクエストのコンテンツに割り込みます。
- CVE-2019-15604 は、証明書内の不正な文字列の送信によってリモートで引き起こされる TLS サーバーのクラッシュです。
さらに、新しいリリースでは、HTTP パーサーのセキュリティと HTTP リクエスト要素のより厳密な解析を改善するための作業が行われました。 この変更により、仕様に違反する HTTP 実装との互換性の問題が発生する可能性があります。 厳密な検証モードを無効にするために、insecureHTTPParser 設定とコマンド ライン オプション「-insecure-http-parser」が提供されています。
出所: オープンネット.ru