【漏洞通告】Node.js 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-22930)

0x00 漏洞概述

0x01 漏洞詳情

2021年7月29日，Node.js發(fā)布了v16.x、v14.x 和 v12.x發(fā)行版的安全更新，修復(fù)了Node.js中的一個Use-After-Free漏洞(CVE-2021-22930)，攻擊者可以利用此漏洞破壞進(jìn)程并導(dǎo)致意外行為，例如使應(yīng)用程序崩潰(拒絕服務(wù))或遠(yuǎn)程執(zhí)行代碼。

該漏洞與HTTP2 流的處理方式有關(guān)。在Node.js解析傳入的RST_STREAM幀(用于終止連接)時，由于對接收到的 RST_STREAM 幀的處理中沒有錯誤代碼和取消錯誤代碼(nghttp2_cancel)，接收器將試圖強制清除收到的任何數(shù)據(jù)，這會導(dǎo)致nghttp2關(guān)閉已經(jīng)破壞的流，從而導(dǎo)致double-free錯誤。

影響范圍

16.x、14.x和12.x發(fā)行版的所有版本

0x02 處置建議

目前此漏洞已經(jīng)修復(fù)。建議及時更新到以下版本：

Node.js v12.22.4 (LTS)

Node.js v14.17.4 (LTS)

Node.js v16.6.0 (Current)

下載鏈接：

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

0x03 參考鏈接

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

https://www.bleepingcomputer.com/news/security/nodejs-fixes-severe-http-bug-that-could-let-attackers-crash-apps/

https://github.com/nodejs/node/pull/39527/commits/ba2ac7bb47406815c98366c5a591053414a1daf3#diff-33f026e43570112875cf4c8eab6743496f3aa014329611128e348ec23d6f771cR2165

0x04 更新版本

0x05 文檔附錄

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

來源：維他命安全