Die ontwikkelaars van die bedienerkant JavaScript-platform Node.js het regstellende vrystellings 12.22.4, 14.17.4 en 16.6.0 gepubliseer, wat 'n kwesbaarheid (CVE-2021-22930) in die http2-module (HTTP/2.0-kliënt) gedeeltelik regstel. , wat jou toelaat om 'n proses-ongeluk te inisieer of moontlik die uitvoering van jou kode in die stelsel te organiseer wanneer jy toegang kry tot 'n gasheer wat deur die aanvaller beheer word.
Die probleem word veroorsaak deur toegang te verkry tot reeds vrygestelde geheue wanneer 'n verbinding gesluit word na ontvangs van RST_STREAM (draadterugstelling) rame vir drade wat intensiewe leesbewerkings uitvoer wat skryf blokkeer. As 'n RST_STREAM-raam ontvang word sonder om 'n foutkode te spesifiseer, roep die http2-module addisioneel 'n skoonmaakprosedure vir data wat reeds ontvang is, waaruit die sluitingshanteerder weer opgeroep word vir die reeds geslote stroom, wat lei tot dubbele vrystelling van datastrukture.
Die pleisterbespreking merk op dat die probleem nie heeltemal opgelos is nie en, onder effens gewysigde toestande, steeds in gepubliseerde opdaterings verskyn. Die ontleding het getoon dat die oplossing slegs een van die spesiale gevalle dek - wanneer die draad in leesmodus is, maar nie ander draadtoestande (lees en pouse, pouse en sommige tipes skryf) in ag neem nie.
Bron: opennet.ru