スポンサードリンク

「Node.js」の2020年2月セキュリティ更新が公開 ~“Critical”1件を含む3件の脆弱性に対処(Impress Watch)

スポンサーリンク
スポンサードリンク

「Node.js」の2020年2月セキュリティ更新が公開 ~“Critical”1件を含む3件の脆弱性に対処
[元記事]
 「Node.js」の開発チームは2月6日、2020年2月のセキュリティリリースが利用可能になったと発表した。v10.19.0(LTS)、v12.15.0(LTS)、v13.8.0(LTS)の各バージョンが公開されている。
 今回のリリースで修正された脆弱性は、以下の3件。
・CVE-2019-15605:HTTP request smuggling using malformed Transfer-Encoding header(深刻度“Critical”)
・CVE-2019-15606:HTTP header values do not have trailing OWS trimmed(深刻度“High”)
・CVE-2019-15604:Remotely trigger an assertion on a TLS server with a malformed certificate string(深刻度“High”)
 加えて、HTTPヘッダーのパース処理がより厳密になった。従来の解釈の緩やかなパース処理に既知の脆弱性は含まれていないが、歴史的にはさまざまな問題の火種となっており、解釈を厳密にすることでセキュリティの向上が期待できる。不正なHTTPヘッダーを生成するWebサイトとの互換性問題を回避するために、コマンドラインオプション“–insecure-http-parser”や“insecureHTTPParser”HTTPオプションが用意されている(v13.4.0で追加)が、利用は推奨されていない。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク