Pembangun platform JavaScript bahagian pelayan Node.js pembetulan mengeluarkan 13.8.0, 12.15.0 dan 10.19.0, yang membetulkan tiga kelemahan:
- CVE-2019-15606 β Pengendalian aksara ruang pilihan (OWS) yang salah berikutan nilai dalam pengepala HTTP;
- CVE-2019-15605 - kemungkinan melakukan serangan HRS (Permintaan HTTP Penyeludupan, baji ke dalam kandungan permintaan lain yang diproses dalam urutan yang sama antara bahagian hadapan dan hujung belakang) melalui penghantaran pengepala HTTP Pemindahan-Pengekodan yang direka khas;
- CVE-2019-15604 ialah ranap pelayan TLS yang dicetuskan dari jauh melalui penghantaran rentetan yang salah dalam sijil.
Di samping itu, dalam keluaran baharu, kerja telah dilakukan untuk meningkatkan keselamatan penghurai HTTP dan penghuraian yang lebih ketat bagi elemen permintaan HTTP. Perubahan itu boleh menyebabkan isu keserasian dengan pelaksanaan HTTP yang melanggar spesifikasi. Untuk melumpuhkan mod pengesahan ketat, tetapan HTTPParser yang tidak selamat dan pilihan baris arahan ββinsecure-http-parserβ disediakan.
Sumber: opennet.ru