Pengembang platform JavaScript sisi server Node.js telah menerbitkan rilis korektif 12.22.4, 14.17.4 dan 16.6.0, yang memperbaiki sebagian kerentanan (CVE-2021-22930) di modul http2 (klien HTTP/2.0) , yang memungkinkan Anda memulai proses crash atau berpotensi mengatur eksekusi kode Anda di sistem saat mengakses host yang dikendalikan oleh penyerang.
Masalah ini disebabkan oleh akses ke memori yang sudah dibebaskan saat menutup koneksi setelah menerima frame RST_STREAM (reset thread) untuk thread yang melakukan operasi baca intensif yang memblokir penulisan. Jika bingkai RST_STREAM diterima tanpa menentukan kode kesalahan, modul http2 juga memanggil prosedur pembersihan untuk data yang sudah diterima, dari mana pengendali penutupan dipanggil lagi untuk aliran yang sudah ditutup, yang mengarah pada pembebasan ganda struktur data.
Diskusi patch mencatat bahwa masalah tersebut belum sepenuhnya terselesaikan dan, dalam kondisi yang sedikit dimodifikasi, masalah tersebut terus muncul dalam pembaruan yang dipublikasikan. Analisis menunjukkan bahwa perbaikan hanya mencakup salah satu kasus khusus - ketika thread berada dalam mode baca, tetapi tidak memperhitungkan status thread lainnya (membaca dan menjeda, menjeda, dan beberapa jenis penulisan).
Sumber: opennet.ru