Server tomonidagi JavaScript platformasi Node.js ishlab chiquvchilari http12.22.4 modulidagi (HTTP/14.17.4 mijozi) zaiflikni (CVE-16.6.0-2021) qisman tuzatuvchi 22930, 2 va 2.0 tuzatuvchi relizlarni nashr etishdi. , bu sizga tajovuzkor tomonidan boshqariladigan xostga kirishda jarayonning ishdan chiqishini boshlash yoki tizimda kodingiz bajarilishini potentsial ravishda tashkil qilish imkonini beradi.
Muammo yozishni bloklaydigan intensiv o'qish operatsiyalarini bajaradigan iplar uchun RST_STREAM (ipni qayta o'rnatish) freymlarini olgandan keyin ulanishni o'chirishda allaqachon bo'shatilgan xotiraga kirishdan kelib chiqadi. Agar RST_STREAM ramkasi xato kodini ko'rsatmasdan olingan bo'lsa, http2 moduli qo'shimcha ravishda allaqachon olingan ma'lumotlarni tozalash protsedurasini chaqiradi, undan allaqachon yopilgan oqim uchun yopish ishlovchisi qayta chaqiriladi, bu esa ma'lumotlar tuzilmalarini ikki marta bo'shatishga olib keladi.
Yamoq muhokamasi shuni ta'kidlaydiki, muammo to'liq hal etilmagan va biroz o'zgartirilgan sharoitlarda nashr etilgan yangilanishlarda paydo bo'lishda davom etmoqda. Tahlil shuni ko'rsatdiki, tuzatish faqat maxsus holatlardan birini qamrab oladi - ip o'qish rejimida bo'lganda, lekin boshqa ip holatlarini (o'qish va pauza, pauza va yozishning ayrim turlari) hisobga olmaydi.
Manba: opennet.ru