Pamekar platform JavaScript sisi server Node.js Koréksi ngaleupaskeun 13.8.0, 12.15.0 sareng 10.19.0, anu ngalereskeun tilu kerentanan:
- CVE-2019-15606 - Penanganan salah sahiji karakter spasi opsional (OWS) nuturkeun nilai dina lulugu HTTP;
- CVE-2019-15605 - kamungkinan ngalaksanakeun serangan HRS (HTTP Request Smuggling, ngaganjel kana eusi requests séjén diolah dina thread sarua antara frontend jeung backend) ngaliwatan mindahkeun tina dirancang husus Transfer-Encoding HTTP lulugu;
- CVE-2019-15604 mangrupikeun kacilakaan server TLS anu dipicu jarak jauh ku cara ngirimkeun senar anu salah dina sertipikat.
Sajaba ti éta, dina Kaluaran anyar, gawé geus dipigawé pikeun ngaronjatkeun kaamanan tina HTTP parser sarta leuwih mastikeun parse elemen requests HTTP. Parobihan éta tiasa nyababkeun masalah kasaluyuan sareng palaksanaan HTTP anu ngalanggar spésifikasi. Pikeun nganonaktipkeun mode verifikasi anu ketat, setélan HTTPParser anu teu aman sareng pilihan garis paréntah "-insecure-http-parser" disayogikeun.
sumber: opennet.ru