Vývojári platformy JavaScript na strane servera Node.js opravné vydania 13.8.0, 12.15.0 a 10.19.0, ktoré opravujú tri zraniteľnosti:
- CVE-2019-15606 – Nesprávne spracovanie voliteľných medzier (OWS) za hodnotou v hlavičke HTTP;
- CVE-2019-15605 - možnosť vykonania HRS útoku (HTTP Request Smuggling, vkliniť do obsahu iných požiadaviek spracovaných v rovnakom vlákne medzi frontend a backend) prostredníctvom prenosu špeciálne navrhnutej HTTP hlavičky Transfer-Encoding;
- CVE-2019-15604 je vzdialene spustená chyba servera TLS prostredníctvom prenosu nesprávneho reťazca v certifikáte.
Okrem toho sa v nových vydaniach pracovalo na zlepšení bezpečnosti analyzátora HTTP a prísnejšej analýze prvkov požiadavky HTTP. Zmena môže spôsobiť problémy s kompatibilitou s implementáciami HTTP, ktoré porušujú špecifikáciu. Ak chcete zakázať režim prísneho overovania, poskytuje sa nastavenie insecureHTTPParser a možnosť príkazového riadka „—insecure-http-parser“.
Zdroj: opennet.ru