Serveripoolse JavaScripti platvormi Node.js arendajad on avaldanud korrigeerivad versioonid 12.22.4, 14.17.4 ja 16.6.0, mis parandavad osaliselt haavatavuse (CVE-2021-22930) http2 moodulis (HTTP/2.0 klient) , mis võimaldab käivitada protsessi krahhi või potentsiaalselt korraldada oma koodi täitmist süsteemis, kui pääsete juurde ründaja juhitavale hostile.
Probleemi põhjustab juba vabastatud mälu juurdepääs ühenduse sulgemisel pärast RST_STREAM (lõime lähtestamise) kaadrite saamist lõimedele, mis sooritavad intensiivseid lugemistoiminguid, mis blokeerivad kirjutamist. Kui RST_STREAM kaader võetakse vastu ilma veakoodi määramata, kutsub http2 moodul lisaks juba vastuvõetud andmete puhastusprotseduuri, millest juba suletud voo jaoks kutsutakse uuesti sulgemiskäitleja, mis toob kaasa andmestruktuuride kahekordse vabastamise.
Plaastri arutelu märgib, et probleem ei ole täielikult lahendatud ja veidi muudetud tingimustel ilmub see jätkuvalt avaldatud värskendustes. Analüüs näitas, et parandus hõlmab ainult ühte erijuhtu – kui lõim on lugemisrežiimis, kuid ei võta arvesse teisi lõime olekuid (lugemine ja paus, paus ja teatud tüüpi kirjutamine).
Allikas: opennet.ru