سرور سائیڈ JavaScript پلیٹ فارم Node.js کے ڈویلپرز تصحیح 13.8.0، 12.15.0 اور 10.19.0 جاری کرتی ہے، جو تین کمزوریوں کو دور کرتی ہے:
- CVE-2019-15606 – HTTP ہیڈر میں ایک قدر کے بعد اختیاری اسپیس کریکٹرز (OWS) کی غلط ہینڈلنگ؛
- CVE-2019-15605 - HRS حملہ کرنے کا امکان (HTTP درخواست کی سمگلنگ، فرنٹ اینڈ اور بیک اینڈ کے درمیان ایک ہی دھاگے میں پروسیس شدہ دیگر درخواستوں کے مواد کو ایک خاص طور پر ڈیزائن کردہ ٹرانسفر-انکوڈنگ HTTP ہیڈر کی منتقلی کے ذریعے۔
- CVE-2019-15604 ایک سرٹیفکیٹ میں ایک غلط سٹرنگ کی ترسیل کے ذریعے دور سے متحرک TLS سرور کریش ہے۔
اس کے علاوہ، نئی ریلیز میں، HTTP پارسر کی سیکورٹی کو بہتر بنانے اور HTTP درخواست کے عناصر کی زیادہ سخت تجزیہ کرنے کے لیے کام کیا گیا ہے۔ تبدیلی HTTP کے نفاذ کے ساتھ مطابقت کے مسائل کا سبب بن سکتی ہے جو تفصیلات کی خلاف ورزی کرتے ہیں۔ سخت تصدیقی موڈ کو غیر فعال کرنے کے لیے، غیر محفوظ ایچ ٹی ٹی پی پارسر سیٹنگ اور کمانڈ لائن آپشن "—insecure-http-parser" فراہم کیے گئے ہیں۔
ماخذ: opennet.ru