Utviklerne av JavaScript-plattformen Node.js på serversiden har publisert korrigerende utgaver 12.22.4, 14.17.4 og 16.6.0, som delvis fikser en sårbarhet (CVE-2021-22930) i http2-modulen (HTTP/2.0-klient) , som lar deg starte en prosesskrasj eller potensielt organisere kjøringen av koden din i systemet når du får tilgang til en vert kontrollert av angriperen.
Problemet er forårsaket av tilgang til allerede frigjort minne når du lukker en tilkobling etter å ha mottatt RST_STREAM (trådtilbakestilling) rammer for tråder som utfører intensive leseoperasjoner som blokkerer skriving. Hvis en RST_STREAM-ramme mottas uten å spesifisere en feilkode, kaller http2-modulen i tillegg en oppryddingsprosedyre for data som allerede er mottatt, hvorfra lukkebehandleren kalles opp igjen for den allerede lukkede strømmen, noe som fører til dobbel frigjøring av datastrukturer.
Patch-diskusjonen bemerker at problemet ikke er fullstendig løst og, under litt modifiserte forhold, fortsetter å vises i publiserte oppdateringer. Analysen viste at rettelsen kun dekker ett av de spesielle tilfellene – når tråden er i lesemodus, men tar ikke hensyn til andre trådtilstander (lesing og pause, pause og enkelte typer skriving).
Kilde: opennet.ru