Node.js сервердик JavaScript платформасынын иштеп чыгуучулары оңдоо релиздери 13.8.0, 12.15.0 жана 10.19.0, алар үч кемчиликти оңдойт:
- CVE-2019-15606 – HTTP башындагы мааниден кийин кошумча боштук символдорун (OWS) туура эмес иштетүү;
- CVE-2019-15605 - HRS чабуулун жасоо мүмкүнчүлүгү (HTTP Request Smugling, атайын иштелип чыккан Transfer-Encoding HTTP башын берүү аркылуу фронт менен бэкэнддин ортосунда бир эле жипте иштетилген башка суроо-талаптардын мазмунуна клин киргизүү;
- CVE-2019-15604 - сертификаттагы туура эмес сапты өткөрүү аркылуу алыстан иштетилген TLS серверинин бузулушу.
Кошумчалай кетсек, жаңы чыгарылыштарда HTTP талдоочусунун коопсуздугун жакшыртуу жана HTTP сурам элементтерин катуу талдоо боюнча иштер жасалды. Өзгөртүү спецификацияны бузган HTTP ишке ашыруулары менен шайкештик маселелерин жаратышы мүмкүн. Катуу текшерүү режимин өчүрүү үчүн, insecureHTTPParser жөндөөлөрү жана “—inecure-http-parser” командалык сабы опциясы каралган.
Source: opennet.ru