De ûntwikkelders fan it JavaSkript-platfoarm foar serverside Node.js hawwe korrektive releases 12.22.4, 14.17.4 en 16.6.0 publisearre, dy't in kwetsberens foar in part reparearje (CVE-2021-22930) yn 'e http2-module (HTTP/2.0-kliïnt) , wêrtroch jo in proses-crash kinne begjinne of mooglik de útfiering fan jo koade yn it systeem organisearje as jo tagong krije ta in host kontrolearre troch de oanfaller.
It probleem wurdt feroarsake troch tagong ta al frijmakke ûnthâld by it sluten fan in ferbining nei ûntfangst fan RST_STREAM (thread reset) frames foar threads dy't yntinsive lêsoperaasjes útfiere dy't skriuwt blokkearje. As in RST_STREAM-frame ûntfongen is sûnder in flaterkoade oan te jaan, ropt de http2-module boppedat in oprompproseduere foar al ûntfongen gegevens, wêrfan de slutingshanneler wer oproppen wurdt foar de al sletten stream, wat liedt ta dûbele befrijing fan gegevensstruktueren.
De patchdiskusje merkt op dat it probleem net folslein oplost is en, ûnder wat oanpaste betingsten, bliuwt te ferskinen yn publisearre updates. De analyze liet sjen dat de fix allinich ien fan 'e spesjale gefallen beslacht - as de thread yn lêsmodus is, mar gjin rekken hâldt mei oare threadstaten (lêzen en pauze, pauze en guon soarten skriuwen).
Boarne: opennet.ru