Entwéckler vun der Server-Säit JavaScript Plattform Node.js Korrektur verëffentlecht 13.8.0, 12.15.0 an 10.19.0, déi dräi Schwachstelle fixéieren:
- CVE-2019-15606 - Falsch Handhabung vun optionalen Raumzeechen (OWS) no engem Wäert am HTTP Header;
- CVE-2019-15605 - Méiglechkeet fir en HRS Attack auszeféieren (HTTP Request Smuggling, Keil an den Inhalt vun aneren Ufroen, déi am selwechte Fuedem tëscht dem Frontend an dem Backend veraarbecht ginn) duerch d'Transmissioun vun engem speziell entwéckelte Transfer-Encoding HTTP Header;
- CVE-2019-15604 ass e Fern ausgeléist TLS Server Crash iwwer d'Transmissioun vun enger falscher String an engem Zertifika.
Zousätzlech, an nei Verëffentlechungen, gouf geschafft fir d'Sécherheet vum HTTP Parser ze verbesseren a méi strikt Parsing vun HTTP-Ufro Elementer. D'Ännerung kann Kompatibilitéitsprobleemer mat HTTP-Implementatiounen verursaachen, déi d'Spezifikatioun verletzen. Fir de strikte Verifizéierungsmodus auszeschalten, ginn d'insecureHTTPParser-Astellung an d'Kommandozeiloptioun "-insecure-http-parser" zur Verfügung gestallt.
Source: opennet.ru
