Wasanidi programu wa jukwaa la JavaScript la upande wa seva Node.js wamechapisha matoleo ya kusahihisha 12.22.4, 14.17.4 na 16.6.0, ambayo hurekebisha athari (CVE-2021-22930) katika moduli ya http2 (mteja wa HTTP/2.0) , ambayo hukuruhusu kuanzisha mchakato wa kuacha kufanya kazi au kuandaa uwezekano wa utekelezaji wa nambari yako katika mfumo unapofikia seva pangishi inayodhibitiwa na mvamizi.
Tatizo linasababishwa na kufikia kumbukumbu iliyoachiliwa tayari wakati wa kufunga muunganisho baada ya kupokea RST_STREAM (kuweka upya nyuzi) kwa nyuzi ambazo zinafanya shughuli za kusoma kwa kina ambazo huzuia maandishi. Ikiwa fremu ya RST_STREAM itapokelewa bila kubainisha msimbo wa hitilafu, moduli ya http2 pia huita utaratibu wa kusafisha data ambayo tayari imepokelewa, ambayo kidhibiti cha kufungwa huitwa tena kwa mkondo ambao tayari umefungwa, ambayo husababisha kuachiliwa mara mbili kwa miundo ya data.
Majadiliano ya kiraka yanabainisha kuwa tatizo halijatatuliwa kabisa na, chini ya hali zilizobadilishwa kidogo, linaendelea kuonekana katika sasisho zilizochapishwa. Uchambuzi ulionyesha kuwa kurekebisha kunashughulikia moja tu ya kesi maalum - wakati thread iko katika hali ya kusoma, lakini haizingatii mataifa mengine ya thread (kusoma na kusitisha, pause na aina fulani za kuandika).
Chanzo: opennet.ru