Server tomonidagi JavaScript platformasi Node.js ishlab chiquvchilari tuzatish 13.8.0, 12.15.0 va 10.19.0 versiyalari bo'lib, ular uchta zaiflikni tuzatadi:
- CVE-2019-15606 – HTTP sarlavhasidagi qiymatdan keyin ixtiyoriy bo‘sh joy belgilarini (OWS) noto‘g‘ri ishlatish;
- CVE-2019-15605 - HRS hujumini amalga oshirish imkoniyati (HTTP so'rovi kontrabandasi, maxsus ishlab chiqilgan Transfer-kodlash HTTP sarlavhasini uzatish orqali frontend va backend o'rtasida bir xil oqimda qayta ishlangan boshqa so'rovlar mazmuniga xanjar;
- CVE-2019-15604 - bu sertifikatdagi noto'g'ri qatorni uzatish orqali masofadan ishga tushirilgan TLS serverining ishdan chiqishi.
Bundan tashqari, yangi nashrlarda HTTP tahlilchisi xavfsizligini yaxshilash va HTTP so'rovi elementlarini yanada qattiqroq tahlil qilish bo'yicha ishlar amalga oshirildi. O'zgartirish spetsifikatsiyani buzadigan HTTP ilovalari bilan muvofiqlik muammolariga olib kelishi mumkin. Qattiq tekshirish rejimini oʻchirish uchun insecureHTTPParser sozlamasi va “—insecure-http-parser” buyruq qatori opsiyasi taqdim etiladi.
Manba: opennet.ru