Ontwikkelaars van het server-side JavaScript-platform Node.js correctiereleases 13.8.0, 12.15.0 en 10.19.0, die drie kwetsbaarheden verhelpen:
- CVE-2019-15606 – Onjuiste verwerking van optionele spatietekens (OWS) na een waarde in de HTTP-header;
- CVE-2019-15605 - mogelijkheid om een HRS-aanval uit te voeren (HTTP Request Smokkel, wig in de inhoud van andere verzoeken die in dezelfde thread tussen de frontend en de backend worden verwerkt) door de overdracht van een speciaal ontworpen Transfer-Encoding HTTP-header;
- CVE-2019-15604 is een op afstand geactiveerde TLS-servercrash via de verzending van een onjuiste string in een certificaat.
Bovendien is er in nieuwe releases gewerkt aan het verbeteren van de beveiliging van de HTTP-parser en aan een striktere parsering van HTTP-verzoekelementen. De wijziging kan compatibiliteitsproblemen veroorzaken met HTTP-implementaties die de specificatie schenden. Om de strikte verificatiemodus uit te schakelen, zijn de insecureHTTParser-instelling en de opdrachtregeloptie “—insecure-http-parser” beschikbaar.
Bron: opennet.ru