Новые выпуски Node.js 13.8, 12.15 и 10.19 с устранением уязвимостей

Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости:

  • CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке;
  • CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, позволяет вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding;
  • CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате.

Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими требования спецификаций. Для отключения жёсткого режима проверки предусмотрена настройка insecureHTTPParser и опция командной строки «—insecure-http-parser».

Источник: http://www.opennet.ru/opennews/art.shtml?num=52319