Prohoster > Blog > tin tức mạng > Bản phát hành mới của Node.js 13.8, 12.15 và 10.19 đã được sửa các lỗ hổng
Bản phát hành mới của Node.js 13.8, 12.15 và 10.19 đã được sửa các lỗ hổng
Разработчики серверной JavaScript-платформы Node.js xuất bản корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:
CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, cho phép вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.
Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки «—insecure-http-parser».