31
июл
2021
  1. Экономическая война
  2. Развитие IT-технологий
Москва, / ИА Красная Весна

В новых версиях Node.js частично устранили уязвимость в клиенте HTTP/2.0

Изображение: Никита Кузьмин © ИА Красная Весна
Микропроцессорная техника
Микропроцессорная техника
Микропроцессорная техника

Новые версии серверной JavaScript-платформы Node.js с частично устраненной уязвимостью в клиенте HTTP/2.0 выпустили разработчики 29 июля, сообщается на сайте проекта.

Уязвимость могла сработать при обращении клиента к контролируемому злоумышленником компьютеру, и потенциально атакующий мог получить возможность перехватить управление процессом и выполнить свой код.

Ошибка проявлялась при закрытии соединения в потоке, производящем многочисленные операции чтения с блокировкой записи. После получения кадра сброса потока (RST_STREAM) без указания кода ошибки возникает ситуация обращения к уже освобожденной памяти.

Другие специалисты отмечают, что даже с учетом выпущенных обновлений уязвимость все равно остается. Она может проявиться при определенных условиях, а сами исправления закрывают дыру только, когда поток находится в режиме чтения.

Нашли ошибку? Выделите ее,
нажмите СЮДА или CTRL+ENTER