Новые выпуски Node.js 13.8, 12.15 и 10.19 с устранением уязвимостей
Разработчики серверной JavaScript-платформы Node.js lomia корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:
CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, e mafai ai вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.
Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки «—insecure-http-parser».