සේවාදායක පැත්තේ JavaScript වේදිකාවේ සංවර්ධකයින් Node.js නිවැරදි කිරීම් 13.8.0, 12.15.0 සහ 10.19.0 නිකුත් කරයි, එය දුර්වලතා තුනක් නිවැරදි කරයි:
- CVE-2019-15606 - HTTP ශීර්ෂයේ අගයක් අනුගමනය කරමින් විකල්ප අවකාශ අක්ෂර (OWS) වැරදි ලෙස හැසිරවීම;
- CVE-2019-15605 - HRS ප්රහාරයක් එල්ල කිරීමේ හැකියාව (HTTP ඉල්ලීම් ජාවාරම්, විෙශේෂෙයන් නිර්මාණය කරන ලද ස්ථාන මාරු-කේතීකරණ HTTP ශීර්ෂයක් සම්ප්රේෂණය කිරීම හරහා ඉදිරිපස සහ පසුපෙළ අතර එකම නූලෙහි සකසන ලද අනෙකුත් ඉල්ලීම්වල අන්තර්ගතයට සම්බන්ධ කරන්න;
- CVE-2019-15604 යනු සහතිකයක වැරදි තන්තුවක් සම්ප්රේෂණය කිරීම හරහා දුරස්ථව ක්රියාකරන TLS සේවාදායක බිඳවැටීමකි.
මීට අමතරව, නව නිකුතු වලදී, HTTP parser හි ආරක්ෂාව වැඩි දියුණු කිරීමට සහ HTTP ඉල්ලීම් මූලද්රව්ය වඩාත් දැඩි ලෙස විග්රහ කිරීමට කටයුතු කර ඇත. වෙනස් කිරීම පිරිවිතර උල්ලංඝනය කරන HTTP ක්රියාත්මක කිරීම් සමඟ අනුකූලතා ගැටළු ඇති කළ හැක. දැඩි සත්යාපන මාදිලිය අක්රිය කිරීමට, අනාරක්ෂිතHTTPParser සැකසුම සහ විධාන රේඛා විකල්පය "-අනාරක්ෂිත-http-parser" සපයනු ලැබේ.
මූලාශ්රය: opennet.ru