Bartekn

**Nome do software vulnerável e versões afetadas** Versões do Puma anteriores à 6.4.2 Versões do Puma anteriores à 5.6.8 **Descrição** O problema está relacionado ao tratamento incorreto de solicitações HTTP no Puma, um servidor web para aplicações Ruby/Rack. Isso pode levar ao contrabando de solicitações HTTP, permitindo que um invasor cause consumo ilimitado de recursos, incluindo CPU e largura de banda de rede. A vulnerabilidade se deve à falta de limites nas extensões de blocos ao analisar corpos de codificação de transferência em blocos. **Recomendações** Para versões anteriores à 6.4.2, atualize para a versão 6.4.2 ou posterior. Para versões anteriores à 5.6.8, atualize para a versão 5.6.8 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint HTTP vulnerável até que um patch seja aplicado. Evite usar o recurso vulnerável `chunked transfer encoding` nas versões afetadas do Puma até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do amphp/http anteriores à versão corrigida Versões do amphp/http-client de 4.0.0-rc10 a 4.0.0 **Descrição** O problema está relacionado à biblioteca amphp/http e à sua implementação do protocolo HTTP/2, especificamente à alocação descontrolada de memória devido a limites de tamanho incorretos ao lidar com quadros CONTINUATION. Isso pode resultar em uma falha por falta de memória (OOM). A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço ao enviar pacotes HTTP. **Recomendações** Para versões do amphp/http anteriores à versão corrigida, atualize para uma versão que inclua a correção para este problema. Para versões do amphp/http-client 4.0.0-rc10 a 4.0.0, atualize para uma versão que inclua a correção para este problema ou posterior. Como solução alternativa temporária, considere restringir o uso do protocolo HTTP/2 ou limitar o tamanho dos pacotes HTTP recebidos para minimizar o risco de exploração.