Sunucu tarafı JavaScript platformu Node.js'nin geliştiricileri, http12.22.4 modülündeki (HTTP/14.17.4 istemcisi) bir güvenlik açığını (CVE-16.6.0-2021) kısmen gideren 22930, 2 ve 2.0 numaralı düzeltici sürümleri yayınladılar. Bu, saldırgan tarafından kontrol edilen bir ana bilgisayara erişirken bir işlem çökmesi başlatmanıza veya potansiyel olarak kodunuzun sistemde yürütülmesini düzenlemenize olanak tanır.
Sorun, yazma işlemlerini engelleyen yoğun okuma işlemleri gerçekleştiren iş parçacıkları için RST_STREAM (iş parçacığı sıfırlama) çerçeveleri aldıktan sonra bir bağlantıyı kapatırken zaten boş olan belleğe erişilmesinden kaynaklanmaktadır. Bir hata kodu belirtilmeden bir RST_STREAM çerçevesi alınırsa, http2 modülü ayrıca halihazırda alınmış veriler için bir temizleme prosedürünü çağırır; buradan kapatma işleyicisi zaten kapalı olan akış için tekrar çağrılır, bu da veri yapılarının iki kez serbest bırakılmasına yol açar.
Yama tartışmasında sorunun tamamen çözülmediği ve biraz değiştirilmiş koşullar altında yayınlanan güncellemelerde görünmeye devam ettiği belirtiliyor. Analiz, düzeltmenin yalnızca iş parçacığının okuma modunda olduğu özel durumlardan birini kapsadığını ancak diğer iş parçacığı durumlarını (okuma ve duraklatma, duraklatma ve bazı yazma türleri) hesaba katmadığını gösterdi.
Kaynak: opennet.ru