Servera puses JavaScript platformas Node.js izstrādātāji korekcijas laidieni 13.8.0, 12.15.0 un 10.19.0, kas novērš trīs ievainojamības:
- CVE-2019-15606 — nepareiza izvēles atstarpes rakstzīmju (OWS) apstrāde pēc vērtības HTTP galvenē;
- CVE-2019-15605 — iespēja veikt HRS uzbrukumu (HTTP pieprasījuma kontrabanda, iekļūst citu pieprasījumu saturā, kas apstrādāti tajā pašā pavedienā starp priekšgalu un aizmugursistēmu), pārsūtot īpaši izstrādātu Transfer-Encoding HTTP galveni;
- CVE-2019-15604 ir attālināti aktivizēta TLS servera avārija, ko izraisa nepareizas virknes pārsūtīšana sertifikātā.
Turklāt jaunajos izlaidumos ir veikts darbs, lai uzlabotu HTTP parsētāja drošību un stingrāku HTTP pieprasījuma elementu parsēšanu. Izmaiņas var izraisīt saderības problēmas ar HTTP ieviešanu, kas pārkāpj specifikāciju. Lai atspējotu stingrās verifikācijas režīmu, tiek nodrošināts insecureHTTPParser iestatījums un komandrindas opcija “—insecure-http-parser”.
Avots: opennet.ru