server-side JavaScript ပလပ်ဖောင်း Node.js ၏ developer များသည် http12.22.4 module (HTTP/14.17.4 client) ရှိ အားနည်းချက် (CVE-16.6.0-2021) တွင် တစ်စိတ်တစ်ပိုင်း ပြင်ဆင်ပေးသည့် မှန်ကန်သော ထုတ်ဝေမှုများ 22930၊ 2 နှင့် 2.0 ကို ထုတ်ဝေခဲ့သည် တိုက်ခိုက်သူထိန်းချုပ်ထားသော host ကိုဝင်ရောက်သည့်အခါတွင် လုပ်ငန်းစဉ်ပျက်ယွင်းမှုတစ်ခုစတင်ရန် သို့မဟုတ် စနစ်အတွင်း သင့်ကုဒ်၏လုပ်ဆောင်မှုကို စုစည်းနိုင်စေနိုင်သည်။
RST_STREAM (thread reset) frames များကို လက်ခံရရှိပြီးနောက် ချိတ်ဆက်မှုအား ပိတ်သောအခါတွင် လွတ်နေပြီဖြစ်သော memory ကို ဝင်ရောက်ခြင်းမှ ဖြစ်ပေါ်လာသော ပြဿနာမှာ ရေးခြင်းများကို ပိတ်ဆို့သည့် ပြင်းပြင်းထန်ထန် ဖတ်ရှုခြင်းဆိုင်ရာ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်နေသော threads များအတွက် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ RST_STREAM ဖရိန်တစ်ခုအား အမှားအယွင်းကုဒ်တစ်ခုမသတ်မှတ်ဘဲ လက်ခံရရှိပါက၊ http2 မော်ဂျူးသည် လက်ခံရရှိပြီးသားဒေတာအတွက် သန့်ရှင်းရေးလုပ်ထုံးလုပ်နည်းကို ထပ်လောင်းခေါ်ဆိုသည်၊ ၎င်းမှ ပိတ်ထားသည့်အရာအား ပိတ်ထားပြီးသော ထုတ်လွှင့်မှုအတွက် ထပ်မံခေါ်ဆိုသည်၊ ၎င်းသည် ဒေတာဖွဲ့စည်းပုံများကို နှစ်ဆလွတ်မြောက်စေမည်ဖြစ်သည်။
ပြဿနာကို လုံးလုံးလျားလျား မဖြေရှင်းနိုင်သေးကြောင်းနှင့် အနည်းငယ် ပြုပြင်ထားသော အခြေအနေများအောက်တွင် ထုတ်ဝေထားသော အပ်ဒိတ်များတွင် ဆက်လက်ပေါ်လာကြောင်း patch ဆွေးနွေးမှုမှ မှတ်သားထားသည်။ ခွဲခြမ်းစိတ်ဖြာမှုမှ ပြုပြင်မှုသည် အထူးကိစ္စရပ်များထဲမှ တစ်ခုကိုသာ အကျုံးဝင်သည် - thread သည် read mode တွင်ရှိသော်လည်း အခြားသော thread state (ဖတ်ရှုခြင်းနှင့် ခေတ္တရပ်ခြင်း၊ ခေတ္တရပ်ခြင်း နှင့် အချို့သောစာရေးခြင်းအမျိုးအစားများ) ကို ထည့်သွင်းစဉ်းစားခြင်းမရှိကြောင်း ခွဲခြမ်းစိတ်ဖြာချက်မှ ပြသခဲ့သည်။
source: opennet.ru