Palvelinpuolen JavaScript-alustan Node.js kehittäjät ovat julkaisseet korjaavat julkaisut 12.22.4, 14.17.4 ja 16.6.0, jotka korjaavat osittain http2021-moduulin (HTTP/22930 asiakas) haavoittuvuuden (CVE-2-2.0) , jonka avulla voit käynnistää prosessin kaatumisen tai mahdollisesti järjestää koodisi suorittamisen järjestelmässä, kun käytät hyökkääjän hallitsemaa isäntäkonetta.
Ongelma johtuu jo vapautuneen muistin käyttämisestä, kun yhteys suljetaan vastaanotettuaan RST_STREAM (säikeen palautus) -kehykset säikeille, jotka suorittavat intensiivisiä lukutoimintoja, jotka estävät kirjoittamisen. Jos RST_STREAM-kehys vastaanotetaan virhekoodia määrittämättä, http2-moduuli kutsuu lisäksi jo vastaanotetun datan puhdistusproseduurin, josta jo suljetun virran sulkemiskäsittelijä kutsutaan uudelleen, mikä johtaa tietorakenteiden kaksinkertaiseen vapautumiseen.
Korjauskeskustelussa todetaan, että ongelmaa ei ole täysin ratkaistu ja että se näkyy edelleen julkaistuissa päivityksissä hieman muutetuissa olosuhteissa. Analyysi osoitti, että korjaus kattaa vain yhden erikoistapauksista - kun säie on lukutilassa, mutta ei ota huomioon muita säikeen tiloja (luku ja tauko, tauko ja tietyt kirjoitustyypit).
Lähde: opennet.ru