Mpamorona ny sehatra JavaScript amin'ny lafiny server Node.js Ny fanitsiana dia mamoaka 13.8.0, 12.15.0 ary 10.19.0, izay mamaha ireo vulnerabilities telo:
- CVE-2019-15606 - Fikarakarana tsy mety amin'ny tarehin-tsoratra tsy voatery (OWS) manaraka ny sanda ao amin'ny lohatenin'ny HTTP;
- CVE-2019-15605 - mety hanaovana fanafihana HRS (HTTP Request Smuggling, miondrika amin'ny votoatin'ny fangatahana hafa nokarakaraina amin'ny kofehy mitovy eo anelanelan'ny frontend sy backend) amin'ny alàlan'ny fandefasana lohapejy HTTP Transfer-encoding natao manokana;
- CVE-2019-15604 dia fianjeran'ny mpizara TLS avy lavitra noho ny fampitana tady diso amin'ny taratasy fanamarinana.
Fanampin'izany, tamin'ny famoahana vaovao, dia natao ny fanatsarana ny fiarovana ny parser HTTP sy ny fanaparitahana henjana kokoa ny singa fangatahana HTTP. Ny fanovana dia mety hiteraka olana mifanaraka amin'ny fampiharana HTTP izay mandika ny fepetra. Mba hanesorana ny fomba fanamarinana henjana dia omena ny fikandrana HTTPParser tsy azo antoka sy ny safidy andalana "-tsy azo antoka-http-parser".
Source: opennet.ru