Udviklerne af JavaScript-platformen på serversiden Node.js har udgivet korrigerende udgivelser 12.22.4, 14.17.4 og 16.6.0, som delvist løser en sårbarhed (CVE-2021-22930) i http2-modulet (HTTP/2.0-klient) , som giver dig mulighed for at starte et procesnedbrud eller potentielt organisere udførelsen af din kode i systemet, når du får adgang til en vært, der kontrolleres af angriberen.
Problemet er forårsaget af adgang til allerede frigjort hukommelse, når en forbindelse lukkes efter modtagelse af RST_STREAM-rammer (trådnulstilling) for tråde, der udfører intensive læseoperationer, der blokerer skrivning. Hvis en RST_STREAM-ramme modtages uden at angive en fejlkode, kalder http2-modulet desuden en oprydningsprocedure for allerede modtagne data, hvorfra lukkebehandleren kaldes igen for den allerede lukkede strøm, hvilket fører til dobbelt frigørelse af datastrukturer.
Patch-diskussionen bemærker, at problemet ikke er fuldstændig løst, og under lidt ændrede forhold fortsætter med at dukke op i offentliggjorte opdateringer. Analysen viste, at rettelsen kun dækker et af de særlige tilfælde - når tråden er i læsetilstand, men ikke tager højde for andre trådtilstande (læsning og pause, pause og nogle typer skrivning).
Kilde: opennet.ru