Twórcy serwerowej platformy JavaScript Node.js wydawane są poprawki 13.8.0, 12.15.0 i 10.19.0, które naprawiają trzy luki:
- CVE-2019-15606 – Niepoprawna obsługa opcjonalnych znaków spacji (OWS) po wartości w nagłówku HTTP;
- CVE-2019-15605 – możliwość przeprowadzenia ataku HRS (HTTP Request Smuggling, wtapiać się w treść innych żądań przetwarzanych w tym samym wątku pomiędzy frontendem a backendem) poprzez transmisję specjalnie zaprojektowanego nagłówka HTTP Transfer-Encoding;
- CVE-2019-15604 to zdalnie wyzwalana awaria serwera TLS w wyniku przesłania nieprawidłowego ciągu znaków w certyfikacie.
Ponadto w nowych wersjach włożono prace mające na celu poprawę bezpieczeństwa parsera HTTP i bardziej rygorystyczną analizę elementów żądań HTTP. Zmiana może powodować problemy ze zgodnością z implementacjami HTTP, które naruszają specyfikację. Aby wyłączyć tryb ścisłej weryfikacji, dostępne jest ustawienie insecureHTTPParser i opcja wiersza poleceń „—insecure-http-parser”.
Źródło: opennet.ru