Programeri JavaScript platforme na strani servera Node.js objavili su korektivna izdanja 12.22.4, 14.17.4 i 16.6.0, koja djelimično popravljaju ranjivost (CVE-2021-22930) u modulu http2 (HTTP/2.0 klijent) , koji vam omogućava da pokrenete pad procesa ili potencijalno organizirate izvršenje vašeg koda u sistemu kada pristupate hostu koji kontrolira napadač.
Problem je uzrokovan pristupom već oslobođenoj memoriji prilikom zatvaranja veze nakon primanja okvira RST_STREAM (resetovanje niti) za niti koje izvode intenzivne operacije čitanja koje blokiraju upisivanje. Ako je RST_STREAM okvir primljen bez specificiranja koda greške, modul http2 dodatno poziva proceduru čišćenja za već primljene podatke, iz koje se ponovo poziva rukovatelj zatvaranjem za već zatvoreni tok, što dovodi do dvostrukog oslobađanja struktura podataka.
U raspravi o zakrpama se napominje da problem nije u potpunosti riješen i da se, pod malo izmijenjenim uvjetima, nastavlja pojavljivati u objavljenim ažuriranjima. Analiza je pokazala da popravka pokriva samo jedan od posebnih slučajeva - kada je nit u načinu čitanja, ali ne uzima u obzir druga stanja niti (čitanje i pauziranje, pauziranje i neke vrste pisanja).
izvor: opennet.ru