Razvijalci strežniške platforme JavaScript Node.js izdaje popravkov 13.8.0, 12.15.0 in 10.19.0, ki odpravljajo tri ranljivosti:
- CVE-2019-15606 – Nepravilna obravnava neobveznih presledkov (OWS), ki sledijo vrednosti v glavi HTTP;
- CVE-2019-15605 - možnost izvedbe HRS napada (HTTP Request Smuggling, zagozdi v vsebino drugih zahtev, obdelanih v isti niti med sprednjim in zadnjim delom) s prenosom posebej oblikovane glave HTTP za kodiranje prenosa;
- CVE-2019-15604 je oddaljeno sprožen zrušitev strežnika TLS prek prenosa napačnega niza v potrdilu.
Poleg tega je bilo v novih izdajah izboljšano varnost razčlenjevalnika HTTP in strožje razčlenjevanje elementov zahteve HTTP. Sprememba lahko povzroči težave z združljivostjo z implementacijami HTTP, ki kršijo specifikacijo. Za onemogočanje načina strogega preverjanja sta na voljo nastavitev insecureHTTPParser in možnost ukazne vrstice »—insecure-http-parser«.
Vir: opennet.ru