Utvecklarna av JavaScript-plattformen Node.js på serversidan har publicerat korrigerande utgåvor 12.22.4, 14.17.4 och 16.6.0, som delvis fixar en sårbarhet (CVE-2021-22930) i http2-modulen (HTTP/2.0-klient) , som låter dig initiera en processkrasch eller eventuellt organisera exekveringen av din kod i systemet när du kommer åt en värd som kontrolleras av angriparen.
Problemet orsakas av att man får åtkomst till redan frigjort minne när man stänger en anslutning efter att ha tagit emot RST_STREAM (trådåterställning) ramar för trådar som utför intensiva läsoperationer som blockerar skrivning. Om en RST_STREAM-ram tas emot utan att specificera en felkod, anropar http2-modulen dessutom en rensningsprocedur för redan mottagen data, från vilken stängningshanteraren anropas igen för den redan stängda strömmen, vilket leder till dubbel frigöring av datastrukturer.
Patchdiskussionen noterar att problemet inte är helt löst och, under något modifierade förhållanden, fortsätter att visas i publicerade uppdateringar. Analysen visade att korrigeringen endast täcker ett av specialfallen - när tråden är i läsläge, men tar inte hänsyn till andra trådtillstånd (läsning och paus, paus och vissa typer av skrivning).
Källa: opennet.ru