H2O · H2O · CVE-2021-43848
**Nome do software vulnerável e versões afetadas**
Versões do h2o entre os commits 93af138 e d1f0f65
**Descrição**
O h2o é um servidor HTTP de código aberto. No código anterior ao commit `8c0eca3`, o h2o pode tentar acessar memória não inicializada. Ao receber quadros QUIC em uma determinada ordem, a implementação do h2o no lado do servidor HTTP/3 pode ser induzida a tratar a memória não inicializada como quadros HTTP/3 que foram recebidos. Quando o h2o é usado como um proxy reverso, um invasor pode explorar essa vulnerabilidade para enviar o estado interno do h2o para servidores de back-end controlados pelo invasor ou por terceiros. Além disso, se houver um endpoint HTTP que reflita o tráfego enviado pelo cliente, um invasor pode usar esse refletor para obter o estado interno do h2o. Esse estado interno inclui o tráfego de outras conexões em formato não criptografado e tickets de sessão TLS.
**Recomendações**
Como solução temporária, considere desativar o suporte a HTTP/3 até que um patch esteja disponível.
Restrinja o acesso à funcionalidade de proxy reverso para minimizar o risco de exploração.
Evite usar endpoints HTTP que reflitam o tráfego enviado pelo cliente até que o problema seja resolvido.
Recomenda-se que usuários de versões não lançadas do h2o que utilizam HTTP/3 atualizem imediatamente.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.