Serverio pusės JavaScript platformos Node.js kūrėjai paskelbė korekcinius leidimus 12.22.4, 14.17.4 ir 16.6.0, kurie iš dalies pašalina http2021 modulio (HTTP/22930 kliento) pažeidžiamumą (CVE-2-2.0) , kuri leidžia inicijuoti proceso gedimą arba galimai organizuoti kodo vykdymą sistemoje, kai pasiekiate užpuoliko valdomą pagrindinį kompiuterį.
Problemą sukelia prieiga prie jau atlaisvintos atminties uždarant ryšį gavus RST_STREAM (gijos atstatymo) kadrus gijomis, kurios atlieka intensyvias skaitymo operacijas, kurios blokuoja rašymą. Jei RST_STREAM kadras gaunamas nenurodant klaidos kodo, http2 modulis papildomai iškviečia jau gautų duomenų valymo procedūrą, iš kurios vėl iškviečiamas uždarymo tvarkytuvas jau uždarytam srautui, o tai lemia dvigubą duomenų struktūrų išlaisvinimą.
Pleistro diskusijoje pažymima, kad problema nėra visiškai išspręsta ir, šiek tiek pakeistomis sąlygomis, ji ir toliau rodoma paskelbtuose atnaujinimuose. Analizė parodė, kad taisymas apima tik vieną iš ypatingų atvejų – kai gija yra skaitymo režime, bet neatsižvelgia į kitas gijos būsenas (skaitymas ir pristabdymas, pristabdymas ir kai kurie rašymo tipai).
Šaltinis: opennet.ru