Norman Maurer

**Nome do Software Vulnerável e Versões Afetadas** netty incubator codec.bhttp versões anteriores a 0.0.21.Final **Descrição** A função `HKDF expand()` retorna um array de bytes não nulo preenchido com zeros em caso de falha, tornando impossível distinguir entre uma operação bem-sucedida e uma falha. Esta saída serve como material de chave para o AEAD (Authenticated Encryption with Associated Data) de resposta, o que significa que uma falha resulta em uma chave composta apenas por zeros. Da mesma forma, quando o `EVP HPKE CTX export` falha, ele retorna um array de bytes vazio preenchido com zeros, que é passado para a função `createResponseAEAD()` em `OHttpCrypto`. Esse comportamento permite a criação de uma chave AEAD determinística e previsível por um invasor. **Recomendações** Atualize para a versão 0.0.21.Final.