Els desenvolupadors de la plataforma JavaScript del servidor Node.js han publicat versions correctives 12.22.4, 14.17.4 i 16.6.0, que solucionen parcialment una vulnerabilitat (CVE-2021-22930) al mòdul http2 (client HTTP/2.0) , que us permet iniciar un bloqueig de procés o, potencialment, organitzar l'execució del vostre codi al sistema en accedir a un host controlat per l'atacant.
El problema és causat per accedir a la memòria ja alliberada quan es tanca una connexió després de rebre trames RST_STREAM (restabliment de fils) per a fils que realitzen operacions de lectura intensives que bloquegen les escriptures. Si es rep una trama RST_STREAM sense especificar un codi d'error, el mòdul http2 també crida a un procediment de neteja de les dades ja rebudes, des del qual es torna a cridar el controlador de tancament per al flux ja tancat, la qual cosa condueix a l'alliberament doble de les estructures de dades.
La discussió del pedaç assenyala que el problema no està completament resolt i, en condicions lleugerament modificades, continua apareixent a les actualitzacions publicades. L'anàlisi va mostrar que la correcció només cobreix un dels casos especials: quan el fil està en mode de lectura, però no té en compte altres estats del fil (lectura i pausa, pausa i alguns tipus d'escriptura).
Font: opennet.ru