Zhvilluesit e platformës JavaScript në anën e serverit Node.js korrigjimi lëshon 13.8.0, 12.15.0 dhe 10.19.0, të cilat rregullojnë tre dobësi:
- CVE-2019-15606 – Trajtim i gabuar i karaktereve të hapësirës opsionale (OWS) pas një vlere në kokën HTTP;
- CVE-2019-15605 - mundësia e kryerjes së një sulmi HRS (Kërkesë HTTP Kontrabandë, futeni në përmbajtjen e kërkesave të tjera të përpunuara në të njëjtën fillesë midis pjesës së përparme dhe pjesës së pasme) nëpërmjet transmetimit të një titulli HTTP të projektuar posaçërisht Transfer-Encoding;
- CVE-2019-15604 është një ndërprerje e serverit TLS e shkaktuar nga distanca nëpërmjet transmetimit të një vargu të pasaktë në një certifikatë.
Përveç kësaj, në publikimet e reja, është punuar për të përmirësuar sigurinë e analizuesit HTTP dhe analizimin më të rreptë të elementeve të kërkesës HTTP. Ndryshimi mund të shkaktojë probleme të përputhshmërisë me implementimet HTTP që shkelin specifikimet. Për të çaktivizuar modalitetin e rreptë të verifikimit, ofrohet cilësimi i pasigurtHTTPParser dhe opsioni i linjës së komandës "—insecure-http-parser".
Burimi: opennet.ru