Tha luchd-leasachaidh an àrd-ùrlar JavaScript taobh an fhrithealaiche Node.js air fiosan ceartachaidh 12.22.4, 14.17.4 agus 16.6.0 fhoillseachadh, a tha gu ìre a’ socrachadh so-leòntachd (CVE-2021-22930) anns a’ mhodal http2 (neach-dèiligidh HTTP / 2.0). , a leigeas leat tubaist pròiseas a thòiseachadh no a dh’ fhaodadh cur an gnìomh do chòd san t-siostam a chuir air dòigh nuair a gheibh thu cothrom air aoigheachd a tha fo smachd an neach-ionnsaigh.
Tha an duilgheadas air adhbhrachadh le bhith a’ faighinn cothrom air cuimhne a chaidh a shaoradh mu thràth nuair a dhùineas tu ceangal às deidh frèamaichean RST_STREAM (ath-shuidheachadh snàithlean) fhaighinn airson snàithleanan a tha a’ coileanadh obair leughaidh dian a chuireas bacadh air sgrìobhadh. Ma gheibhear frèam RST_STREAM gun a bhith a’ sònrachadh còd mearachd, bidh am modal http2 cuideachd a’ gairm modh glanaidh airson dàta a fhuaireadh mar-thà, às an tèid an neach-làimhseachaidh dùnaidh a ghairm a-rithist airson an t-srutha a tha dùinte mar-thà, a tha a’ leantainn gu saoradh dùbailte de structaran dàta.
Tha an deasbad paiste a’ toirt fa-near nach eil an duilgheadas air fhuasgladh gu tur agus, fo chumhachan a tha beagan atharraichte, fhathast a’ nochdadh ann an ùrachaidhean foillsichte. Sheall an anailis nach eil an rèiteachadh a’ còmhdach ach aon de na cùisean sònraichte - nuair a tha an snàithlean ann am modh leughaidh, ach nach eil e a’ toirt aire do stàitean snàithlean eile (leughadh agus stad, stad agus cuid de sheòrsan sgrìobhaidh).
Source: fosgailtenet.ru