Уязвимост в http2 модула от Node.js

Разработчиците на сървърната JavaScript платформа Node.js публикуваха коригиращи версии 12.22.4, 14.17.4 и 16.6.0, които частично коригират уязвимост (CVE-2021-22930) в http2 модула (HTTP/2.0 клиент) , което позволява да инициирате срив на процеса или потенциално да организирате изпълнението на вашия код в системата при достъп до хост, контролиран от нападателя.

Проблемът е причинен от достъп до вече освободена памет при затваряне на връзка след получаване на рамки RST_STREAM (нулиране на нишка) за нишки, които извършват интензивни операции за четене, които блокират записите. Ако се получи рамка RST_STREAM без да се посочи код за грешка, http2 модулът допълнително извиква процедура за почистване на вече получени данни, от която манипулаторът за затваряне се извиква отново за вече затворения поток, което води до двойно освобождаване на структури от данни.

Дискусията за корекция отбелязва, че проблемът не е напълно разрешен и при леко променени условия продължава да се появява в публикуваните актуализации. Анализът показа, че корекцията обхваща само един от специалните случаи - когато нишката е в режим на четене, но не взема предвид други състояния на нишката (четене и пауза, пауза и някои видове запис).

Източник: opennet.ru