Nove izdaje Node.js 13.8, 12.15 in 10.19 z odpravljenimi ranljivostmi
Razvijalci strežniške platforme JavaScript Node.js objavljeno izdaje popravkov 13.8.0, 12.15.0 in 10.19.0, ki odpravljajo tri ranljivosti:
CVE-2019-15606 – Nepravilna obravnava neobveznih presledkov (OWS), ki sledijo vrednosti v glavi HTTP;
CVE-2019-15605 - možnost izvedbe HRS napada (HTTP Request Smuggling, omogoča zagozdi v vsebino drugih zahtev, obdelanih v isti niti med sprednjim in zadnjim delom) s prenosom posebej oblikovane glave HTTP za kodiranje prenosa;
CVE-2019-15604 je oddaljeno sprožen zrušitev strežnika TLS prek prenosa napačnega niza v potrdilu.
Poleg tega je bilo v novih izdajah izboljšano varnost razčlenjevalnika HTTP in strožje razčlenjevanje elementov zahteve HTTP. Sprememba lahko povzroči težave z združljivostjo z implementacijami HTTP, ki kršijo specifikacijo. Za onemogočanje načina strogega preverjanja sta na voljo nastavitev insecureHTTPParser in možnost ukazne vrstice »—insecure-http-parser«.