大工网安告[2021]026号

一、情况分析

近日，亚信安全CERT监控到Node.js官方发布更新，修复了组件中存在的远程代码执行漏洞（CVE-2021-22930）。此漏洞为释放后重用漏洞，因其对传入的RST_STREAM帧不正确解析强制清除数据时，nghttp2会关闭相关已被破坏的数据流，从而导致double-free错误。攻击者可利用此漏洞破坏进程，远程执行任意代码，进而控制服务器。

二、影响范围

Node.js 12.x < 12.22.4 (LTS)

Node.js 14.x < 14.17.4 (LTS)

Node.js 16.x < 16.6.0 (Current)

三、处置建议

1.检测当前版本，在node.js的安装目录输入：node -v

2.如果当前版本非最新版本，请更新至官方安全版本：

Node.js v12.22.4 (LTS)

Node.js v14.17.4 (LTS)

Node.js v16.6.0 (Current)

参考链接：

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/#use-after-free-on-close-http2-on-stream-canceling-high-cve-2021-22930

https://github.com/nodejs/node/pull/39423

https://github.com/nodejs/node/issues/38964