توسعه دهندگان پلتفرم جاوا اسکریپت سمت سرور Node.js نسخه های اصلاحی 12.22.4، 14.17.4 و 16.6.0 را منتشر کرده اند که تا حدی یک آسیب پذیری (CVE-2021-22930) را در ماژول http2 (کلینت HTTP/2.0) برطرف می کند. ، که به شما امکان می دهد هنگام دسترسی به میزبانی که توسط مهاجم کنترل می شود، یک خرابی فرآیند را شروع کنید یا به طور بالقوه اجرای کد خود را در سیستم سازماندهی کنید.
این مشکل به دلیل دسترسی به حافظه آزاد شده در هنگام بستن یک اتصال پس از دریافت فریم های RST_STREAM (بازنشانی رشته) برای رشته هایی است که عملیات خواندن فشرده را انجام می دهند و نوشتن را مسدود می کنند. اگر یک فریم RST_STREAM بدون مشخص کردن کد خطا دریافت شود، ماژول http2 علاوه بر این یک رویه پاکسازی برای دادههایی که قبلاً دریافت کردهاند فراخوانی میکند، که از آن کنترلکننده بسته شدن مجدداً برای جریان از قبل بسته شده فراخوانی میشود، که منجر به آزادسازی مضاعف ساختارهای داده میشود.
بحث پچ اشاره می کند که مشکل به طور کامل حل نشده است و تحت شرایط کمی تغییر یافته، همچنان در به روز رسانی های منتشر شده ظاهر می شود. تجزیه و تحلیل نشان داد که رفع فقط یکی از موارد خاص را پوشش می دهد - زمانی که موضوع در حالت خواندن است، اما سایر حالت های رشته (خواندن و مکث، مکث و برخی از انواع نوشتن) را در نظر نمی گیرد.
منبع: opennet.ru