D'fhoilsigh forbróirí an ardáin JavaScript ar thaobh an fhreastalaí Node.js eisiúintí ceartaitheacha 12.22.4, 14.17.4 agus 16.6.0, a cheartaíonn go páirteach leochaileacht (CVE-2021-22930) sa mhodúl http2 (cliant HTTP/2.0). , a cheadaíonn timpiste próisis a thionscnamh nó a d'fhéadfadh forghníomhú do chód a eagrú sa chóras nuair a fhaigheann tú rochtain ar óstach arna rialú ag an ionsaitheoir.
Is é is cúis leis an bhfadhb ná rochtain a fháil ar chuimhne atá saor cheana nuair a dhúnann tú nasc tar éis frámaí RST_STREAM (athshocrú snáithe) a fháil le haghaidh snáitheanna atá i mbun dianoibríochtaí léite a chuireann bac ar scríbhinní. Má fhaightear fráma RST_STREAM gan cód earráide a shonrú, glaonn an modúl http2 freisin nós imeachta glanta le haghaidh sonraí a fuarthas cheana, óna nglaoitear an láimhseálaí dúnta arís don sruth dúnta cheana féin, rud a fhágann go scaoiltear saor struchtúir sonraí faoi dhó.
Tugann an plé paiste faoi deara nach bhfuil an fhadhb réitithe go hiomlán agus, faoi choinníollacha beagán modhnaithe, leanann sé le feiceáil i nuashonruithe foilsithe. Léirigh an anailís nach gclúdaíonn an socrú ach ceann amháin de na cásanna speisialta - nuair a bhíonn an snáithe i mód léite, ach nach gcuireann sé san áireamh stáit snáithe eile (léamh agus sos, sos agus roinnt cineálacha scríbhneoireachta).
Foinse: oscailtenet.ru