CVE-2021-32714

Versões do hyper anteriores à 0.14.10

O problema está relacionado a um estouro de inteiro ao decodificar tamanhos de blocos excessivamente grandes, o que pode causar perda de dados ou, em certos casos, “contrabando de solicitações” ou “ataques de dessincronização” se combinado com um proxy HTTP upstream que permita tamanhos de blocos maiores. Isso pode ocorrer ao usar o hyper para qualquer finalidade HTTP/1, incluindo como cliente ou servidor, e quando os usuários enviam solicitações ou respostas que especificam um tamanho de chunk superior a 18 exabytes. Para que um possível ataque de contrabando de solicitações seja viável, quaisquer proxies upstream devem aceitar um tamanho de chunk superior a 64 bits.

Para resolver o problema, atualize para a versão 0.14.10 ou posterior.

Como solução alternativa temporária, considere rejeitar manualmente as solicitações que contenham um cabeçalho Transfer-Encoding.

Como alternativa, certifique-se de que qualquer proxy upstream rejeite tamanhos de bloco Transfer-Encoding maiores do que o que cabe em inteiros sem sinal de 64 bits.