์๋ฒ ์ธก JavaScript ํ๋ซํผ Node.js ๊ฐ๋ฐ์
- CVE-2019-15606 โ HTTP ํค๋์ ๊ฐ ๋ค์ ์ค๋ ์ ํ์ ๊ณต๋ฐฑ ๋ฌธ์(OWS)๋ฅผ ์๋ชป ์ฒ๋ฆฌํฉ๋๋ค.
- CVE-2019-15605 - HRS ๊ณต๊ฒฉ ์ํ ๊ฐ๋ฅ์ฑ(HTTP Request Smuggling,
๊ทธ๊ฒ์ ์ ์์ต๋๋ค ํน๋ณํ ์ค๊ณ๋ Transfer-Encoding HTTP ํค๋์ ์ ์ก์ ํตํด ํ๋ฐํธ์๋์ ๋ฐฑ์๋ ์ฌ์ด์ ๋์ผํ ์ค๋ ๋์์ ์ฒ๋ฆฌ๋๋ ๋ค๋ฅธ ์์ฒญ์ ๋ด์ฉ์ ์ฝ์ ํฉ๋๋ค. - CVE-2019-15604๋ ์ธ์ฆ์์ ์๋ชป๋ ๋ฌธ์์ด ์ ์ก์ ํตํด ์๊ฒฉ์ผ๋ก ํธ๋ฆฌ๊ฑฐ๋๋ TLS ์๋ฒ ์ถฉ๋์ ๋๋ค.
๋ํ ์ ๋ฆด๋ฆฌ์ค์์๋ HTTP ๊ตฌ๋ฌธ ๋ถ์๊ธฐ์ ๋ณด์์ ๊ฐ์ ํ๊ณ HTTP ์์ฒญ ์์๋ฅผ ๋ณด๋ค ์๊ฒฉํ๊ฒ ๊ตฌ๋ฌธ ๋ถ์ํ๋ ์์ ์ด ์ํ๋์์ต๋๋ค. ๋ณ๊ฒฝ์ผ๋ก ์ธํด ์ฌ์์ ์๋ฐํ๋ HTTP ๊ตฌํ๊ณผ์ ํธํ์ฑ ๋ฌธ์ ๊ฐ ๋ฐ์ํ ์ ์์ต๋๋ค. ์๊ฒฉํ ๊ฒ์ฆ ๋ชจ๋๋ฅผ ๋นํ์ฑํํ๊ธฐ ์ํด insecureHTTPparser ์ค์ ๊ณผ ๋ช ๋ น์ค ์ต์ โโinsecure-http-parserโ๊ฐ ์ ๊ณต๋ฉ๋๋ค.
์ถ์ฒ : opennet.ru