سرور-سائڊ JavaScript پليٽ فارم Node.js جي ڊولپرز 12.22.4، 14.17.4 ۽ 16.6.0 اصلاحي رليز شايع ڪيا آهن، جيڪي جزوي طور http2021 ماڊل (HTTP/22930 ڪلائنٽ) ۾ هڪ ڪمزوري (CVE-2-2.0) کي درست ڪن ٿا. , جيڪو توهان کي اجازت ڏئي ٿو هڪ عمل جي حادثي کي شروع ڪرڻ يا ممڪن طور تي منظم ڪرڻ جي توهان جي ڪوڊ جي عمل کي سسٽم ۾ جڏهن حملي ڪندڙ طرفان ڪنٽرول ڪيل ميزبان تائين رسائي.
مسئلو اڳ ۾ ئي آزاد ٿيل ميموري تائين رسائي جي ڪري پيدا ٿئي ٿو جڏهن ڪنيڪشن کي بند ڪرڻ کان پوءِ RST_STREAM (ٿريڊ ري سيٽ) فريم حاصل ڪرڻ کان پوءِ انهن ٿريڊن لاءِ جيڪي سخت پڙهڻ جا عمل ڪري رهيا آهن جيڪي بلاڪ لکن ٿا. جيڪڏهن هڪ RST_STREAM فريم حاصل ڪيو ويو آهي بغير ڪنهن غلطي ڪوڊ جي وضاحت ڪرڻ، http2 ماڊل اضافي طور تي ڪال ڪري ٿو هڪ صاف ڪرڻ واري طريقيڪار اڳ ۾ ئي حاصل ڪيل ڊيٽا لاء، جنهن مان بند ڪرڻ واري هينڊلر کي اڳ ۾ ئي بند ٿيل وهڪرو لاء ٻيهر سڏيو ويندو آهي، جيڪو ڊيٽا جي جوڙجڪ جي ٻٽي آزاد ٿيڻ جي ڪري ٿي.
پيچ بحث نوٽ ڪري ٿو ته مسئلو مڪمل طور تي حل نه ڪيو ويو آهي ۽، ٿورڙي تبديل ٿيل حالتن جي تحت، شايع ٿيل تازه ڪارين ۾ ظاهر ٿيڻ جاري آهي. تجزيي مان معلوم ٿئي ٿو ته فيڪس صرف خاص ڪيسن مان هڪ کي ڍڪيندو آهي - جڏهن موضوع پڙهڻ واري موڊ ۾ آهي، پر ٻين موضوعن جي حالتن (پڙهڻ ۽ روڪڻ، روڪڻ ۽ لکڻ جي ڪجهه قسمن) کي حساب ۾ نٿو رکي.
جو ذريعو: opennet.ru