Уязвимость CVE-2024-27983: Информация

Описание

An attacker can make the Node.js HTTP/2 server completely unavailable by sending a small amount of HTTP/2 frames packets with a few HTTP/2 frames inside. It is possible to leave some data in nghttp2 memory after reset when headers with HTTP/2 CONTINUATION frame are sent to the server and then a TCP connection is abruptly closed by the client triggering the Http2Session destructor while header frames are still being processed (and stored in memory) causing a race condition.

URL: https://nvd.nist.gov/vuln/detail/CVE-2024-27983
Опубликовано: 9 апреля 2024 г.
Изменено: 20 апреля 2024 г.

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
nodesisyphus20.12.1-alt120.12.2-alt1ALT-PU-2024-5094-2344324Исправлено
nodesisyphus_riscv6420.12.1-alt120.12.1-alt1ALT-PU-2024-6089-1-Исправлено
nodesisyphus_loongarch6420.12.1-alt120.12.1-alt1ALT-PU-2024-5941-1-Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://hackerone.com/reports/2319584
    https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JDECX4BYZLMM4S4LALN4DPZ2HUTTPLKE/
      https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YDVFUH7ACZPYB3BS4SVILNOY7NQU73VW/
        VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
        Версия: v24.4.2
        Наверх