Opanga ma seva a JavaScript nsanja Node.js kukonza kumatulutsa 13.8.0, 12.15.0 ndi 10.19.0, zomwe zimakonza zovuta zitatu:
- CVE-2019-15606 - Kusagwira molakwika kwa zilembo zomwe mwasankha (OWS) kutsatira mtengo pamutu wa HTTP;
- CVE-2019-15605 - kuthekera kochita kuwukira kwa HRS (HTTP Request Smuggling, kulowera ku zomwe zili muzopempha zina zomwe zasinthidwa mu ulusi womwewo pakati pa kutsogolo ndi kumbuyo) kupyolera mu kutumiza kwa mutu wa Transfer-Encoding HTTP wopangidwa mwapadera;
- CVE-2019-15604 ndikuwonongeka kwa seva ya TLS komwe kunayambika patali kudzera pakutumiza kwa chingwe cholakwika mu satifiketi.
Kuphatikiza apo, muzotulutsa zatsopano, ntchito yachitika kuti apititse patsogolo chitetezo cha HTTP parser ndikuwunika mosamalitsa zopempha za HTTP. Kusinthaku kungayambitse zovuta zokhudzana ndi machitidwe a HTTP omwe amasemphana ndi zomwe zafotokozedwa. Kuti muyimitse njira yotsimikizira yotsimikizika, insecureHTTPParser setting ndi njira ya mzere wa lamulo "-insecure-http-parser" amaperekedwa.
Source: opennet.ru