Soosaarayaasha madal-kooxeed-koobeedka JavaScript Node.js ayaa daabacay sii dayn sixid ah 12.22.4, 14.17.4 iyo 16.6.0, kuwaas oo qayb ahaan hagaajinaya nuglaanta (CVE-2021-22930) ee qaybta http2 (HTTP/2.0 macmiilka) , Kaas oo kuu ogolaanaya inaad bilowdo shil habsocod ama aad abaabuli karto fulinta koodka nidaamka marka aad gelayso martigeliyaha uu gacanta ku hayo weerarka.
Dhibaatadu waxay ka timaadaa helitaanka xusuusta hore loo xoreeyay marka la xidho xidhiidhka ka dib markii la helo RST_STREAM (thread reset) firam ee threads ee fulinaya hawlgallada akhriska degdega ah ee xannibaya wax qora. Haddii qaab-dhismeedka RST_STREAM la helo iyada oo aan la sheegin koodka khaladka ah, qaybta http2 waxa kale oo ay ku baaqaysaa habraaca nadiifinta xogta hore loo helay, kaas oo maamulaha xidhitaanka loogu yeedhayo durdurkii horeba u xidhnaa, taas oo horseedaysa in labanlaab la sii daayo qaababka xogta.
Falanqaynta balastarku waxay xustay in dhibaatada aan si buuxda loo xalin oo, xaaladaha wax yar la beddelay, ay sii socoto inay ka soo muuqato cusboonaysiinta la daabacay. Falanqaynta ayaa muujisay in hagaajintu ay daboosho oo keliya mid ka mid ah kiisaska gaarka ah - marka duntu ay ku jirto habka wax-akhrinta, laakiin aan xisaabtamin xaaladaha kale ee dunta (akhrinta iyo joojinta, joojinta iyo noocyada qorista).
Source: opennet.ru