פגיעות במודול http2 מ-Node.js

המפתחים של פלטפורמת ה-JavaScript בצד השרת Node.js פרסמו מהדורות מתקנות 12.22.4, 14.17.4 ו-16.6.0, המתקנים חלקית פגיעות (CVE-2021-22930) במודול http2 (לקוח HTTP/2.0) , המאפשר לך ליזום קריסת תהליך או אולי לארגן את ביצוע הקוד שלך במערכת בעת גישה למארח הנשלט על ידי התוקף.

הבעיה נגרמת על ידי גישה לזיכרון שכבר פנוי בעת סגירת חיבור לאחר קבלת מסגרות RST_STREAM (איפוס שרשור) עבור שרשורים שמבצעים פעולות קריאה אינטנסיביות החוסמות כתיבה. אם מסגרת RST_STREAM מתקבלת ללא ציון קוד שגיאה, מודול http2 קורא בנוסף להליך ניקוי עבור נתונים שכבר התקבלו, ממנו נקרא שוב מטפל הסגירה עבור הזרם שכבר סגור, מה שמוביל לשחרור כפול של מבני נתונים.

דיון התיקון מציין שהבעיה לא נפתרה לחלוטין, ובתנאים שהשתנו מעט, ממשיכה להופיע בעדכונים שפורסמו. הניתוח הראה שהתיקון מכסה רק אחד מהמקרים המיוחדים - כאשר השרשור נמצא במצב קריאה, אך אינו לוקח בחשבון מצבי שרשור אחרים (קריאה והשהייה, השהייה וסוגי כתיבה מסוימים).

מקור: OpenNet.ru