I sviluppatori di a piattaforma JavaScript di u servitore Node.js anu publicatu versioni currettivi 12.22.4, 14.17.4 è 16.6.0, chì curreghja parzialmente una vulnerabilità (CVE-2021-22930) in u modulu http2 (client HTTP/2.0) , chì permette di inizià un crash di prucessu o possibbilmente urganizà l'esekzione di u vostru còdice in u sistema quandu accede à un host cuntrullatu da l'attaccante.
U prublema hè causatu da l'accessu à a memoria già liberata quandu si chjude una cunnessione dopu avè ricivutu RST_STREAM (reset di filu) frames per i filamenti chì facenu operazioni di lettura intensive chì bloccanu e scrittura. Se un quadru RST_STREAM hè ricivutu senza specificà un codice d'errore, u modulu http2 chjama ancu una prucedura di pulizia per i dati digià ricevuti, da quale u gestore di chjusu hè chjamatu novu per u flussu digià chjusu, chì porta à a doppia liberazione di strutture di dati.
A discussione di u patch nota chì u prublema ùn hè micca cumpletamente risolta è, in cundizioni ligeramente modificate, cuntinueghja à apparisce in l'aghjurnamenti publicati. L'analisi hà dimustratu chì a correzione copre solu unu di i casi spiciali - quandu u filu hè in modu di lettura, ma ùn piglia micca in contu altri stati di filu (lectura è pausa, pausa è certi tipi di scrittura).
Source: opennet.ru