D'Entwéckler vun der Server-Säit JavaScript Plattform Node.js hunn Korrekturverëffentlechungen 12.22.4, 14.17.4 an 16.6.0 publizéiert, déi deelweis eng Schwachstelle korrigéieren (CVE-2021-22930) am http2 Modul (HTTP/2.0 Client) , wat et erlaabt e Prozess Crash ze initiéieren oder potenziell d'Ausféierung vun Ärem Code am System z'organiséieren wann Dir Zougang zu engem Host kontrolléiert vum Ugräifer.
De Problem gëtt verursaacht duerch Zougang zu scho befreit Gedächtnis wann Dir eng Verbindung zoumaacht nodeems Dir RST_STREAM (Thread Reset) Frames kritt hutt fir Threads déi intensiv Liesoperatiounen ausféieren déi Schreifweis blockéieren. Wann e RST_STREAM Frame kritt gëtt ouni e Feelercode ze spezifizéieren, rifft den http2 Modul zousätzlech eng Botzprozedur fir scho empfaangen Donnéeën op, aus deem de Schließhandter erëm fir de scho zouene Stroum opgeruff gëtt, wat zu enger duebeler Befreiung vun Datenstrukturen féiert.
D'Patchdiskussioun stellt fest datt de Problem net komplett geléist ass an ënner liicht modifizéierten Konditiounen weider a publizéierten Updates erschéngt. D'Analyse huet gewisen datt de Fix nëmmen ee vun de spezielle Fäll deckt - wann de Fuedem am Liesmodus ass, awer net aner Fuedemzoustand berücksichtegt (Liesen a Pausen, Pausen an e puer Schreiwenarten).
Source: opennet.ru