Ua hoʻopuka nā mea hoʻomohala o ka pūnaewele JavaScript ʻaoʻao ʻo Node.js i nā hoʻokuʻu hoʻoponopono 12.22.4, 14.17.4 a me 16.6.0, e hoʻoponopono hapa ana i kahi nāwaliwali (CVE-2021-22930) ma ka http2 module (HTTP/2.0 client) , ka mea e hiki ai ke hoʻomaka i ke kaʻina hana ulia a hoʻonohonoho paha i ka hoʻokō ʻana i kāu code i loko o ka ʻōnaehana i ke komo ʻana i kahi hoʻokipa i hoʻomalu ʻia e ka mea hoʻouka.
Hoʻokumu ʻia ka pilikia ma ke komo ʻana i ka hoʻomanaʻo i hoʻokuʻu ʻia i ka wā e pani ai i kahi pilina ma hope o ka loaʻa ʻana o nā kiʻi RST_STREAM (thread reset) no nā loina e hana ana i nā hana heluhelu ikaika e pāpā ana i nā kākau. Inā loaʻa kahi kiʻi RST_STREAM me ka ʻole o ka hōʻike ʻana i ka helu kuhi hewa, ua kāhea ʻia ka http2 module i kahi kaʻina hana hoʻomaʻemaʻe no ka ʻikepili i loaʻa mua, kahi i kāhea hou ʻia ai ka mea hoʻopaʻa pani no ke kahawai i pani ʻia, e alakaʻi i ka hoʻokuʻu pālua ʻana i nā hale ʻikepili.
Hoʻomaopopo ka kūkākūkā patch ʻaʻole i hoʻopau piha ʻia ka pilikia a, ma lalo o nā kūlana i hoʻololi iki ʻia, ke hoʻomau nei ka ʻike ʻana i nā mea hou i paʻi ʻia. Ua hōʻike ka hōʻike ʻana ua uhi wale ka hoʻoponopono i kekahi o nā hihia kūikawā - i ka wā e heluhelu ʻia ai ke kaula, akā ʻaʻole e noʻonoʻo i nā mokuʻāina ʻē aʻe (heluhelu a hoʻomaha, hoʻomaha a me kekahi mau ʻano kākau).
Source: opennet.ru