Таҳиягарони платформаи JavaScript-и сервер Node.js релизҳои ислоҳи 13.8.0, 12.15.0 ва 10.19.0, ки се осебпазириро ислоҳ мекунанд:
- CVE-2019-15606 - Коркарди нодурусти аломатҳои фазоӣ (OWS) пас аз арзиш дар сарлавҳаи HTTP;
- CVE-2019-15605 - имкони анҷом додани ҳамлаи HRS (HTTP Request Conmuggling, ба мундариҷаи дархостҳои дигар, ки дар як ришта байни фронт ва пушти сар коркард шудаанд) тавассути интиқоли сарлавҳаи махсуси тарҳрезишудаи Transfer-Encoding HTTP;
- CVE-2019-15604 як суқути сервери TLS аз фосилаи дур тавассути интиқоли сатри нодуруст дар сертификат мебошад.
Илова бар ин, дар релизҳои нав, корҳо барои беҳтар кардани амнияти таҳлилгари HTTP ва таҳлили қатъии унсурҳои дархости HTTP анҷом дода шуданд. Тағйирот метавонад мушкилоти мутобиқатро бо татбиқи HTTP, ки мушаххасотро вайрон мекунанд, ба вуҷуд орад. Барои хомӯш кардани реҷаи қатъии санҷиш, танзимоти insecureHTTPParser ва имконоти сатри фармони "—insecure-http-parser" таъмин карда мешаванд.
Манбаъ: opennet.ru