Розробники серверної JavaScript-платформи Node.js коригувальні випуски 13.8.0, 12.15.0 та 10.19.0, у яких усунуто три вразливості:
- CVE-2019-15606 - некоректна обробка необов'язкових символів пробілу (OWS), що йдуть після значення в заголовку HTTP;
- CVE-2019-15605 - можливість проведення атаки HRS (HTTP Request Smuggling, вклинюватися у вміст інших запитів, що обробляються в тому ж потоці між фронтендом і бекендом) через передачу спеціально оформленого HTTP-заголовка Transfer-Encoding;
- CVE-2019-15604 — крах TLS-сервера, що ініціюється віддалено, через передачу некоректного рядка в сертифікаті.
Крім того, у нових випусках проведена робота з підвищення захищеності парсера HTTP та більш строгого розбору елементів HTTP-запитів. Зміна може призвести до проблем із сумісністю з HTTP-реалізаціями, що порушують вимоги специфікацій. Для відключення жорсткого режиму перевірки передбачено налаштування insecureHTTPParser та опція командного рядка «insecure-http-parser».
Джерело: opennet.ru