సర్వర్ వైపు JavaScript ప్లాట్ఫారమ్ Node.js డెవలపర్లు దిద్దుబాటు 13.8.0, 12.15.0 మరియు 10.19.0లను విడుదల చేస్తుంది, ఇది మూడు దుర్బలత్వాలను పరిష్కరిస్తుంది:
- CVE-2019-15606 – HTTP హెడర్లో విలువను అనుసరించి ఐచ్ఛిక స్పేస్ క్యారెక్టర్ల (OWS) తప్పు నిర్వహణ;
- CVE-2019-15605 - HRS దాడి చేసే అవకాశం (HTTP అభ్యర్థన స్మగ్లింగ్, ప్రత్యేకంగా రూపొందించిన ట్రాన్స్ఫర్-ఎన్కోడింగ్ HTTP హెడర్ను ప్రసారం చేయడం ద్వారా ఫ్రంటెండ్ మరియు బ్యాకెండ్ మధ్య ఒకే థ్రెడ్లో ప్రాసెస్ చేయబడిన ఇతర అభ్యర్థనల కంటెంట్లను వెజ్ చేయండి;
- CVE-2019-15604 అనేది సర్టిఫికేట్లో తప్పు స్ట్రింగ్ను ప్రసారం చేయడం ద్వారా రిమోట్గా ట్రిగ్గర్ చేయబడిన TLS సర్వర్ క్రాష్.
అదనంగా, కొత్త విడుదలలలో, HTTP పార్సర్ యొక్క భద్రతను మెరుగుపరచడానికి మరియు HTTP అభ్యర్థన మూలకాల యొక్క మరింత కఠినమైన పార్సింగ్కు పని జరిగింది. మార్పు స్పెసిఫికేషన్ను ఉల్లంఘించే HTTP అమలులతో అనుకూలత సమస్యలను కలిగిస్తుంది. కఠినమైన ధృవీకరణ మోడ్ను నిలిపివేయడానికి, అసురక్షితHTTPParser సెట్టింగ్ మరియు కమాండ్ లైన్ ఎంపిక “—అసురక్షిత-http-parser” అందించబడతాయి.
మూలం: opennet.ru