В новых версиях Node.js частично устранили уязвимость в клиенте HTTP/2.0

Новые версии серверной JavaScript-платформы Node.js с частично устраненной уязвимостью в клиенте HTTP/2.0 выпустили разработчики 29 июля, сообщается на сайте проекта.

Уязвимость могла сработать при обращении клиента к контролируемому злоумышленником компьютеру, и потенциально атакующий мог получить возможность перехватить управление процессом и выполнить свой код.

Ошибка проявлялась при закрытии соединения в потоке, производящем многочисленные операции чтения с блокировкой записи. После получения кадра сброса потока (RST_STREAM) без указания кода ошибки возникает ситуация обращения к уже освобожденной памяти.

Другие специалисты отмечают, что даже с учетом выпущенных обновлений уязвимость все равно остается. Она может проявиться при определенных условиях, а сами исправления закрывают дыру только, когда поток находится в режиме чтения.