Utvecklare av JavaScript-plattformen Node.js på serversidan korrigeringsversionerna 13.8.0, 12.15.0 och 10.19.0, som fixar tre sårbarheter:
- CVE-2019-15606 – Felaktig hantering av valfria mellanslagstecken (OWS) efter ett värde i HTTP-huvudet;
- CVE-2019-15605 - möjlighet att utföra en HRS-attack (HTTP Request Smuggling, kila in i innehållet i andra förfrågningar som behandlas i samma tråd mellan frontend och backend) genom överföring av en specialdesignad Transfer-Encoding HTTP-header;
- CVE-2019-15604 är en fjärrutlöst TLS-serverkrasch via överföring av en felaktig sträng i ett certifikat.
Dessutom, i nya utgåvor, har arbete gjorts för att förbättra säkerheten för HTTP-parsern och mer strikt analysera delar av HTTP-förfrågningar. Ändringen kan orsaka kompatibilitetsproblem med HTTP-implementeringar som bryter mot specifikationen. För att inaktivera det strikta verifieringsläget tillhandahålls insecureHTTPParser-inställningen och kommandoradsalternativet "—insecure-http-parser".
Källa: opennet.ru