CVE-2021-21299

**Nome do software vulnerável e versões afetadas:

hyper versões 0.12.0 a 0.13.9

hyper versões 0.14.0 a 0.14.2

Descrição:

O código do servidor HTTP no hyper apresenta uma falha que interpreta incorretamente algumas solicitações com múltiplos cabeçalhos de codificação de transferência como tendo uma carga fragmentada, quando na verdade deveriam ter sido rejeitadas por serem inválidas. Isso, combinado com um proxy HTTP upstream que interpreta o limite da carga útil da solicitação de maneira diferente, pode resultar em “contrabando de solicitações” ou “ataques de dessincronização”. Para determinar se há vulnerabilidade, todas estas condições devem ser verdadeiras: uso do hyper como servidor HTTP, uso de HTTP/1.1 e uso de um proxy HTTP vulnerável upstream do hyper. Se um proxy upstream rejeitar corretamente os cabeçalhos de codificação de transferência ilegais, o ataque de dessincronização não poderá ser bem-sucedido. Se não houver proxy upstream do hyper, o hyper não poderá iniciar o ataque de dessincronização, pois o cliente reparará os cabeçalhos antes do encaminhamento.

Recomendações:

Para as versões 0.12.0 a 0.13.9 do hyper, atualize para a versão 0.13.10 ou posterior.

Para as versões do hyper 0.14.0 a 0.14.2, atualize para a versão 0.14.3 ou posterior.

Como solução temporária, considere rejeitar solicitações que contenham um cabeçalho transfer-encoding.

Como alternativa, certifique-se de que qualquer proxy upstream lide com transfer-encoding corretamente.