Сервер талын JavaScript платформ Node.js-ийн хөгжүүлэгчид залруулга нь 13.8.0, 12.15.0, 10.19.0 хувилбаруудыг гаргадаг бөгөөд эдгээр нь гурван эмзэг байдлыг засдаг:
- CVE-2019-15606 – HTTP толгой хэсэгт байгаа утгыг дагаж нэмэлт зай тэмдэгтүүдийг (OWS) буруу зохицуулсан;
- CVE-2019-15605 - HRS халдлага хийх боломж (HTTP хүсэлтийг хууль бусаар нэвтрүүлэх, тусгайлан зохион бүтээгдсэн Transfer-Encoding HTTP толгой хэсгийг шилжүүлэх замаар урд болон арын хэсгийн хооронд ижил урсгалд боловсруулагдсан бусад хүсэлтийн агуулга руу шаантаг оруулах;
- CVE-2019-15604 нь сертификат дахь буруу мөрийг дамжуулснаар алсаас өдөөгдсөн TLS серверийн гэмтэл юм.
Нэмж дурдахад, шинэ хувилбаруудад HTTP анализаторын аюулгүй байдлыг сайжруулах, HTTP хүсэлтийн элементүүдийг илүү хатуу задлан шинжлэх ажлыг хийсэн. Энэхүү өөрчлөлт нь тодорхойлолтыг зөрчсөн HTTP хэрэгжүүлэлттэй нийцтэй байдлын асуудал үүсгэж болзошгүй. Баталгаажуулах хатуу горимыг идэвхгүй болгохын тулд insecureHTTPParser тохиргоо болон "—insecure-http-parser" командын мөрийн сонголтыг өгсөн болно.
Эх сурвалж: opennet.ru