For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00121
Identificador(es)
ASA-2019-00121, CVE-2019-5739
Título
Negação de serviço com conexões HTTP keep-alive
Fabricante(s)
The Node.js Project
Produto(s)
Node.js
Versão(ões) afetada(s)
Todas as versões do Node.js 6 (LTS “Boron”)
Versão(ões) corrigida(s)
Node.js 6.17.0 (LTS “Boron”)
Prova de conceito
Desconhecido
Descrição
Conexões HTTP e HTTPS mantidas em funcionamento podem permanecer abertas e inativas por até 2 minutos no Node.js 6.16.0 e versões anteriores. O Node.js 8.0.0 introduziu um server.keepAliveTimeout dedicado, cujo padrão é 5 segundos. O comportamento no Node.js 6.16.0 e anterior é um possível vetor de ataque negação de serviço (DoS). O Node.js 6.17.0 introduz o server.keepAliveTimeout e o padrão de 5 segundos.
Technical details
Desconhecido
Créditos
Timur Shemsedinov e Matteo Collina
Referência(s)
February 2019 Security Releases
https://nodejs.org/en/blog/vulnerability/february-2019-security-releases/
http: destroy sockets after keepAliveTimeout
https://github.com/nodejs/node/commit/f23b3b6bad
CVE-2019-5739
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5739
CVE-2019-5739
https://nvd.nist.gov/vuln/detail/CVE-2019-5739
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019