CVE-2022-0618

swift-nio-http2, versões 1.0.0 a 1.19.2

Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço, causado por um par de rede que envie um quadro HTTP/2 especialmente criado. Essa vulnerabilidade é causada por um erro lógico ao analisar um quadro HTTP/2 HEADERS ou HTTP/2 PUSH PROMISE, nos quais o quadro contém informações de preenchimento sem quaisquer outros dados. O ataque requer pouco esforço e tem alto impacto na disponibilidade, pois o recebimento do quadro causa uma falha imediata no servidor, interrompendo todas as conexões em andamento e exigindo a reinicialização do serviço. O ataque em si não apresenta riscos à confidencialidade ou integridade, mas falhas repentinas no processo podem levar a violações de invariantes nos serviços, potencialmente desencadeando uma condição de erro com riscos à confidencialidade ou integridade.

Para as versões 1.0.0 a 1.19.2, atualize para a versão 1.20.0 ou posterior para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para minimizar o risco de exploração.