Programeri poslužiteljske JavaScript platforme Node.js objavili su ispravna izdanja 12.22.4, 14.17.4 i 16.6.0, koja djelomično popravljaju ranjivost (CVE-2021-22930) u http2 modulu (HTTP/2.0 klijent) , koji vam omogućuje da pokrenete pad procesa ili potencijalno organizirate izvršenje vašeg koda u sustavu kada pristupate hostu koji kontrolira napadač.
Problem je uzrokovan pristupom već oslobođenoj memoriji prilikom zatvaranja veze nakon primanja okvira RST_STREAM (poništavanje niti) za niti koje izvode intenzivne operacije čitanja koje blokiraju pisanje. Ako se RST_STREAM okvir primi bez navođenja koda greške, http2 modul dodatno poziva proceduru čišćenja za već primljene podatke, iz koje se ponovno poziva rukovatelj zatvaranja za već zatvoreni tok, što dovodi do dvostrukog oslobađanja podatkovnih struktura.
Rasprava o zakrpama napominje da problem nije u potpunosti riješen i da se, pod malo izmijenjenim uvjetima, nastavlja pojavljivati u objavljenim ažuriranjima. Analiza je pokazala da popravak pokriva samo jedan od posebnih slučajeva - kada je nit u modu čitanja, ali ne uzima u obzir druga stanja niti (čitanje i pauziranje, pauziranje i neke vrste pisanja).
Izvor: opennet.ru