Новые выпуски Node.js 13.8, 12.15 и 10.19 с устранением уязвимостей
Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:
- CVE-2019–15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
- CVE-2019–15605 — возможность проведения атаки HRS (HTTP Request Smuggling, позволяет вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
- CVE-2019–15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.
Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки »--insecure-http-parser».
Источник: http://www.opennet.ru/opennews/art.shtml? num=52319
© OpenNet
