Разработчики серверной JavaScript-платформы Node.js корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:
- CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
- CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
- CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.
Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки «—insecure-http-parser».
מקור: opennet.ru