For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00120
Identificador(es)
ASA-2019-00120, CVE-2019-5737
Título
Slowloris HTTP Negação de serviço com keep-alive
Fabricante(s)
The Node.js Project
Produto(s)
Node.js
Versão(ões) afetada(s)
Todas as versões do Node.js 6 (LTS “Boron”)
Todas as versões do Node.js 8 (LTS “Carbon”)
Todas as versões do Node.js 10 (LTS “Dubnium”)
Todas as versões do Node.js 11 (Current)
Versão(ões) corrigida(s)
Node.js 11.10.1 (Current)
Node.js 10.15.2 (LTS “Dubnium”)
Node.js 8.15.1 (LTS “Carbon”)
Node.js 6.17.0 (LTS “Boron”)
Prova de conceito
Desconhecido
Descrição
Todas as linhas de lançamento ativamente suportadas são vulneráveis e a gravidade é BAIXA. Um atacante pode causar uma negação de serviço (DoS) estabelecendo uma conexão HTTP ou HTTPS no modo keep-alive e enviando cabeçalhos muito lentamente, mantendo a conexão e os recursos associados ativos por um longo período de tempo. O potencial de ataque é mitigado pelo uso de um balanceador de carga ou outra camada de proxy.
Esta vulnerabilidade é uma extensão do CVE-2018-12121, tratada em novembro de 2018. O tempo limite de 40 segundos e seu ajuste por server.headersTimeout aplicam-se a essa correção como no CVE-2018-12121.
Technical details
Desconhecido
Créditos
Marco Pracucci e Matteo Collina
Referência(s)
February 2019 Security Releases
https://nodejs.org/en/blog/vulnerability/february-2019-security-releases/
http: prevent slowloris with keepalive connections
https://github.com/nodejs/node/commit/1a7302bd48
CVE-2019-5737
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5737
CVE-2019-5737
https://nvd.nist.gov/vuln/detail/CVE-2019-5737
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019