CVE-2021-21294

**Nome do software vulnerável e versões afetadas:

Versões do http4s anteriores à 0.21.17

Versões do http4s anteriores à 0.22.0-M2

Versões do http4s anteriores à 1.0.0-M14

Descrição:

O problema está relacionado à biblioteca blaze-core, que aceita conexões sem limite em seu pool de seletores. Isso pode levar a uma negação de serviço, já que as conexões recebidas continuam sendo aceitas e adicionadas a uma fila ilimitada, esgotando os escassos recursos do sistema operacional. O mecanismo de middleware MaxActiveRequests no http4s limita apenas o número de conexões que podem ser processadas simultaneamente, não o número de conexões que podem permanecer abertas.

O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Detalhes técnicos sobre a exploração incluem o fato de que cada conexão aloca um identificador de soquete, o que pode confundir disjuntores de circuito de nível superior que funcionam com base na detecção de conexões com falha.

Recomendações:

Para versões anteriores à 0.21.17, considere usar um side-car do Nginx como proxy reverso para aplicar semântica de limitação de conexão antes que os soquetes cheguem ao blaze-core.

Para versões anteriores à 0.22.0-M2, considere usar um side-car do Nginx como proxy reverso para aplicar semântica de limitação de conexão antes que os sockets cheguem ao blaze-core.

Para versões anteriores à 1.0.0-M14, considere usar um side-car do Nginx como proxy reverso para aplicar semântica de limitação de conexão antes que os sockets cheguem ao blaze-core.

Como alternativa, considere usar o http4s-e