Ang mga developers sa server-side nga JavaScript platform nga Node.js nagpatik sa corrective releases 12.22.4, 14.17.4 ug 16.6.0, nga partially fix a vulnerability (CVE-2021-22930) sa http2 module (HTTP/2.0 client) , nga nagtugot kanimo sa pagsugod sa usa ka proseso nga pagkahagsa o posibleng pag-organisar sa pagpatuman sa imong code sa sistema sa dihang nag-access sa usa ka host nga kontrolado sa tig-atake.
Ang problema tungod sa pag-access sa na-libre na nga memorya sa dihang nagsira sa usa ka koneksyon human makadawat sa RST_STREAM (thread reset) nga mga frame alang sa mga thread nga naghimo sa intensive read operations nga nagbabag sa pagsulat. Kung ang usa ka RST_STREAM frame madawat nga wala magpiho sa usa ka error code, ang http2 module dugang nga nagtawag sa usa ka pamaagi sa paglimpyo alang sa datos nga nadawat na, diin ang tigdumala sa pagsira gitawag pag-usab alang sa sirado na nga sapa, nga mosangpot sa doble nga pagpagawas sa mga istruktura sa datos.
Ang panaghisgot sa patch nag-ingon nga ang problema dili hingpit nga masulbad ug, ubos sa gamay nga giusab nga mga kondisyon, nagpadayon sa pagpakita sa gipatik nga mga update. Gipakita sa pag-analisar nga ang pag-ayo naglangkob lamang sa usa sa mga espesyal nga kaso - kung ang hilo anaa sa read mode, apan wala magtagad sa ubang mga estado sa thread (pagbasa ug paghunong, paghunong ug pipila ka matang sa pagsulat).
Source: opennet.ru