Уязвимость в http2-модуле из состава Node.js

Die Entwickler der Server-JavaScript-Plattform Node.js haben die Korrekturversionen 12.22.4, 14.17.4 und 16.6.0 veröffentlicht, in denen teilweise eine Sicherheitsanfälligkeit (CVE-2021-22930) im http2-Modul (HTTP/2.0-Client) behoben wurde. Diese konnte dazu führen, dass der Prozess abstürzt oder potenziell die Ausführung schadhafter Code in das System ermöglicht wurde, wenn auf einen von einem Angreifer kontrollierten Host zugegriffen wird.

Das Problem entsteht durch den Zugriff auf bereits freigegebenen Speicherplatz beim Schließen der Verbindung nach dem Erhalt von RST_STREAM-Frames (Stream-Reset) für Streams, in denen intensive Leseoperationen die Schreibvorgänge blockieren. Bei Empfang eines RST_STREAM-Frames ohne Fehlercode ruft das http2-Modul zusätzlich die Bereinigungsprozedur für bereits empfangene Daten auf, aus der für den bereits geschlossenen Stream erneut der Schließhandler aufgerufen wird, was zu einer doppelten Freigabe der Datenstrukturen führt.

Im Diskussionsbeitrag zur Fehlerbehebung wird festgestellt, dass das Problem nicht vollständig behoben ist und unter leicht veränderten Bedingungen weiterhin in den veröffentlichten Updates auftritt. Die Analyse hat gezeigt, dass die Behebung nur einen speziellen Fall abdeckt – nämlich wenn der Stream im Lese-Modus ist, jedoch andere Zustände des Streams (Lesen und Pausieren, Pausieren und bestimmte Schreibarten) nicht berücksichtigt werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster