Lukasapublished

**Nome do software vulnerável e versões afetadas** swift-nio-http2, versões 1.0.0 a 1.19.2 **Descrição** Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço, causado por um par de rede que envie um quadro HTTP/2 especialmente criado. Essa vulnerabilidade é causada por um erro lógico ao analisar um quadro HTTP/2 HEADERS ou HTTP/2 PUSH PROMISE, nos quais o quadro contém informações de preenchimento sem quaisquer outros dados. O ataque requer pouco esforço e tem alto impacto na disponibilidade, pois o recebimento do quadro causa uma falha imediata no servidor, interrompendo todas as conexões em andamento e exigindo a reinicialização do serviço. O ataque em si não apresenta riscos à confidencialidade ou integridade, mas falhas repentinas no processo podem levar a violações de invariantes nos serviços, potencialmente desencadeando uma condição de erro com riscos à confidencialidade ou integridade. **Recomendações** Para as versões 1.0.0 a 1.19.2, atualize para a versão 1.20.0 ou posterior para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** swift-nio-http2, versões 1.0.0 a 1.19.1 **Descrição** Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço, causado por um par de rede que envie um bloco de cabeçalho codificado em HPACK especialmente criado. Esse ataque afeta o swift-nio-http2 e pode ser desencadeado pelo envio de um bloco de cabeçalho HPACK malicioso em qualquer um dos quadros que transportem HPACK em uma conexão HTTP/2, como `HEADERS` e `PUSH PROMISE`, em qualquer posição. O ataque requer pouco esforço e pode ser repetido para causar uma negação de serviço substancial, levando o servidor a travar e a interromper todas as conexões em andamento. Embora o ataque em si não apresente riscos à confidencialidade ou integridade, travamentos repentinos de processos podem levar a violações de invariantes nos serviços, potencialmente desencadeando condições de erro com tais riscos. **Recomendações** Para as versões 1.0.0 a 1.19.1 do swift-nio-http2, atualize para a versão 1.19.2 ou posterior para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para mitigar o risco de ataques de negação de serviço.

**Nome do software vulnerável e versões afetadas** swift-nio-http2, versões 1.0.0 a 1.19.1 **Descrição** Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço causado por um par de rede que envie quadros ALTSVC ou ORIGIN. Esse ataque é causado por um erro lógico após a análise do quadro, mas antes do seu processamento. Os quadros ORIGIN e ALTSVC não são atualmente suportados pelo swift-nio-http2 e devem ser ignorados. No entanto, um caminho de código que os encontra possui, em vez disso, uma armadilha deliberada. O envio de um quadro ALTSVC ou ORIGIN não requer nenhuma permissão especial, portanto, qualquer par de conexão HTTP/2 pode enviar tal quadro. O ataque exige pouco esforço e tem alto impacto na disponibilidade, pois o recebimento do quadro causa uma falha imediata no servidor, interrompendo todas as conexões em andamento e fazendo com que o serviço precise ser reiniciado. O ataque não apresenta riscos de confidencialidade ou integridade por si só, mas falhas repentinas no processo podem levar a violações de invariantes nos serviços, potencialmente desencadeando uma condição de erro com riscos de confidencialidade ou integridade. **Recomendações** Para as versões 1.0.0 a 1.19.1, atualize para a versão 1.19.2 ou posterior para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para minimizar o risco de exploração.