Node.js серверлік JavaScript платформасының әзірлеушілері түзету үш осалдықты түзететін 13.8.0, 12.15.0 және 10.19.0 шығарылымдары:
- CVE-2019-15606 – HTTP тақырыбындағы мәннен кейін қосымша бос орын таңбаларын (OWS) қате өңдеу;
- CVE-2019-15605 - HRS шабуылын жасау мүмкіндігі (HTTP сұранысының контрабандасы, арнайы әзірленген Transfer-Encoding HTTP тақырыбын жіберу арқылы алдыңғы және сервер арасындағы бірдей ағында өңделген басқа сұраулардың мазмұнына сына салу;
- CVE-2019-15604 - сертификаттағы қате жолды жіберу арқылы қашықтан іске қосылған TLS серверінің бұзылуы.
Сонымен қатар, жаңа шығарылымдарда HTTP талдаушысының қауіпсіздігін жақсарту және HTTP сұрау элементтерін неғұрлым қатаң талдау бойынша жұмыс жасалды. Өзгеріс спецификацияны бұзатын HTTP іске асыруларымен үйлесімділік мәселелерін тудыруы мүмкін. Қатаң растау режимін өшіру үшін insecureHTTPParser параметрі және пәрмен жолы опциясы «—сенсіз-http-талдауыш» қамтамасыз етілген.
Ақпарат көзі: opennet.ru