CVE-2021-43848

Versões do h2o entre os commits 93af138 e d1f0f65

O h2o é um servidor HTTP de código aberto. No código anterior ao commit 8c0eca3, o h2o pode tentar acessar memória não inicializada. Ao receber quadros QUIC em uma determinada ordem, a implementação do h2o no lado do servidor HTTP/3 pode ser induzida a tratar a memória não inicializada como quadros HTTP/3 que foram recebidos. Quando o h2o é usado como um proxy reverso, um invasor pode explorar essa vulnerabilidade para enviar o estado interno do h2o para servidores de back-end controlados pelo invasor ou por terceiros. Além disso, se houver um endpoint HTTP que reflita o tráfego enviado pelo cliente, um invasor pode usar esse refletor para obter o estado interno do h2o. Esse estado interno inclui o tráfego de outras conexões em formato não criptografado e tickets de sessão TLS.

Como solução temporária, considere desativar o suporte a HTTP/3 até que um patch esteja disponível.

Restrinja o acesso à funcionalidade de proxy reverso para minimizar o risco de exploração.

Evite usar endpoints HTTP que reflitam o tráfego enviado pelo cliente até que o problema seja resolvido.

Recomenda-se que usuários de versões não lançadas do h2o que utilizam HTTP/3 atualizem imediatamente.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.