Các nhà phát triển nền tảng JavaScript phía máy chủ Node.js đã phát hành các bản phát hành khắc phục 12.22.4, 14.17.4 và 16.6.0, sửa một phần lỗ hổng (CVE-2021-22930) trong mô-đun http2 (máy khách HTTP/2.0) , cho phép bắt đầu sự cố quy trình hoặc có khả năng tổ chức việc thực thi mã của bạn trong hệ thống khi truy cập vào máy chủ do kẻ tấn công kiểm soát.
Sự cố xảy ra do truy cập vào bộ nhớ đã được giải phóng khi đóng kết nối sau khi nhận được khung RST_STREAM (đặt lại luồng) cho các luồng đang thực hiện các thao tác đọc chuyên sâu chặn ghi. Nếu nhận được khung RST_STREAM mà không chỉ định mã lỗi, mô-đun http2 sẽ gọi thêm quy trình dọn dẹp dữ liệu đã nhận được, từ đó trình xử lý đóng sẽ được gọi lại cho luồng đã đóng, dẫn đến giải phóng gấp đôi cấu trúc dữ liệu.
Cuộc thảo luận về bản vá lưu ý rằng vấn đề chưa được giải quyết hoàn toàn và trong các điều kiện được sửa đổi một chút, vẫn tiếp tục xuất hiện trong các bản cập nhật đã xuất bản. Phân tích cho thấy bản sửa lỗi chỉ bao gồm một trong các trường hợp đặc biệt - khi luồng ở chế độ đọc, nhưng không tính đến các trạng thái luồng khác (đọc và tạm dừng, tạm dừng và một số kiểu viết).
Nguồn: opennet.ru