Namoaka famoahana fanitsiana 12.22.4, 14.17.4 ary 16.6.0 ny mpamorona ny sehatra JavaScript amin'ny lafiny server Node.js, izay manamboatra ampahany amin'ny vulnerability (CVE-2021-22930) ao amin'ny module http2 (Client HTTP/2.0) , izay ahafahanao manomboka fianjerana dingana na mety handamina ny fanatanterahana ny kaody ao amin'ny rafitra rehefa miditra amin'ny mpampiantrano iray fehezin'ny mpanafika.
Ny olana dia vokatry ny fidirana amin'ny fitadidiana efa afaka rehefa manidy fifandraisana aorian'ny nahazoana RST_STREAM (famerenana ny kofehy) ho an'ny kofehy izay manao asa famakiana mafonja izay manakana ny fanoratana. Raha voaray ny frame RST_STREAM nefa tsy misy kaody diso, dia miantso fomba fanadiovana ho an'ny angon-drakitra efa voaray koa ny maodely http2, izay iantsoana indray ny mpandrindra fanakatonana ho an'ny renirano efa mihidy, izay mitondra amin'ny fanafahana indroa ny rafitra angona.
Ny fifanakalozan-kevitra hotfix dia manamarika fa tsy voavaha tanteraka ny olana ary, ao anatin'ny fepetra ovaina kely, dia mbola miseho amin'ny fanavaozana navoaka. Ny famakafakana dia naneho fa ny fanamboarana dia tsy misy afa-tsy ny iray amin'ireo tranga manokana - rehefa ao anatin'ny fomba famakiana ny kofehy, fa tsy miraharaha ireo toe-javatra hafa (mamaky sy miato, miato ary karazana fanoratana).
Source: opennet.ru