服务器端 JavaScript 平台 Node.js 的开发人员 修正版本13.8.0、12.15.0和10.19.0,修复了三个漏洞:
- CVE-2019-15606 – HTTP 标头中值后面的可选空格字符 (OWS) 处理不正确;
- CVE-2019-15605 - 执行 HRS 攻击的可能性(HTTP 请求走私、 通过传输专门设计的 Transfer-Encoding HTTP 标头,插入前端和后端之间同一线程中处理的其他请求的内容;
- CVE-2019-15604 是通过传输证书中不正确的字符串远程触发的 TLS 服务器崩溃。
此外,在新版本中,还进行了改进 HTTP 解析器的安全性以及更严格地解析 HTTP 请求元素的工作。此更改可能会导致违反规范的 HTTP 实现的兼容性问题。要禁用严格验证模式,提供了 insecureHTTPParser 设置和命令行选项“--insecure-http-parser”。
来源: opennet.ru