🥇Новые выпуски Node.js 13.8, 12.15 и 10.19 с устранением уязвимостей

Разработчики серверной JavaScript-платформы Node.js ເຜີຍແຜ່ корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:

CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, ອະນຸຍາດ вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.

Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки «—insecure-http-parser».

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

ລຸ້ນໃໝ່ຂອງ Node.js 13.8, 12.15 ແລະ 10.19 ທີ່ມີການສ້ອມແຊມຊ່ອງໂຫວ່

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ