Devlopè yo nan platfòm JavaScript bò sèvè Node.js te pibliye degaje korektif 12.22.4, 14.17.4 ak 16.6.0, ki pasyèlman ranje yon vilnerabilite (CVE-2021-22930) nan modil http2 (HTTP/2.0 kliyan) , ki pèmèt ou kòmanse yon aksidan pwosesis oswa potansyèlman òganize ekzekisyon kòd ou a nan sistèm nan lè w ap jwenn aksè nan yon lame kontwole pa atakè a.
Pwoblèm nan koze pa aksè memwa ki deja libere lè fèmen yon koneksyon apre li fin resevwa RST_STREAM (reset fil) ankadreman pou fil ki ap fè operasyon lekti entansif ki bloke ekriti. Si yo resevwa yon ankadreman RST_STREAM san yo pa espesifye yon kòd erè, modil la http2 anplis rele yon pwosedi netwayaj pou done deja resevwa, ki soti nan ki okipe a fèmen yo rele ankò pou kouran ki deja fèmen, ki mennen nan libere doub nan estrikti done.
Diskisyon patch la fè remake ke pwoblèm nan pa konplètman rezoud epi, nan kondisyon yon ti kras modifye, kontinye parèt nan mizajou pibliye. Analiz la te montre ke ranje a sèlman kouvri youn nan ka espesyal yo - lè fil la se nan mòd li, men li pa pran an kont lòt eta fil (lekti ak pran poz, pran yon poz ak kèk kalite ekri).
Sous: opennet.ru