伺服器端 JavaScript 平台 Node.js 的開發人員已發布修正版本 12.22.4、14.17.4 和 16.6.0,部分修復了 http2021 模組(HTTP/22930 用戶端)中的漏洞 (CVE-2-2.0) ,它允許您在存取攻擊者控制的主機時啟動進程崩潰或潛在地組織系統中程式碼的執行。
該問題是由於在接收到正在執行阻止寫入的密集讀取操作的線程的 RST_STREAM(線程重置)幀後關閉連接時訪問已釋放的內存而引起的。如果在沒有指定錯誤代碼的情況下接收到 RST_STREAM 幀,則 http2 模組會另外呼叫已接收資料的清理過程,從中再次為已關閉的流呼叫閉包處理程序,這會導致資料結構的雙重釋放。
補丁討論指出,該問題尚未完全解決,並且在稍作修改的情況下,繼續出現在已發布的更新中。分析表明,該修復僅涵蓋一種特殊情況 - 當執行緒處於讀取模式時,但沒有考慮其他執行緒狀態(讀取和暫停、暫停和某些類型的寫入)。
來源: opennet.ru