ASA-2019-00120 – Node.js: Slowloris HTTP Negação de serviço com keep-alive


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00120

Identificador(es)

ASA-2019-00120, CVE-2019-5737

Título

Slowloris HTTP Negação de serviço com keep-alive

Fabricante(s)

The Node.js Project

Produto(s)

Node.js

Versão(ões) afetada(s)

Todas as versões do Node.js 6 (LTS “Boron”)
Todas as versões do Node.js 8 (LTS “Carbon”)
Todas as versões do Node.js 10 (LTS “Dubnium”)
Todas as versões do Node.js 11 (Current)

Versão(ões) corrigida(s)

Node.js 11.10.1 (Current)
Node.js 10.15.2 (LTS “Dubnium”)
Node.js 8.15.1 (LTS “Carbon”)
Node.js 6.17.0 (LTS “Boron”)

Prova de conceito

Desconhecido

Descrição

Todas as linhas de lançamento ativamente suportadas são vulneráveis e a gravidade é BAIXA. Um atacante pode causar uma negação de serviço (DoS) estabelecendo uma conexão HTTP ou HTTPS no modo keep-alive e enviando cabeçalhos muito lentamente, mantendo a conexão e os recursos associados ativos por um longo período de tempo. O potencial de ataque é mitigado pelo uso de um balanceador de carga ou outra camada de proxy.

Esta vulnerabilidade é uma extensão do CVE-2018-12121, tratada em novembro de 2018. O tempo limite de 40 segundos e seu ajuste por server.headersTimeout aplicam-se a essa correção como no CVE-2018-12121.

Technical details

Desconhecido

Créditos

Marco Pracucci e Matteo Collina

Referência(s)

February 2019 Security Releases
https://nodejs.org/en/blog/vulnerability/february-2019-security-releases/

http: prevent slowloris with keepalive connections
https://github.com/nodejs/node/commit/1a7302bd48

CVE-2019-5737
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5737

CVE-2019-5737
https://nvd.nist.gov/vuln/detail/CVE-2019-5737

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.