CVE-2022-24667

swift-nio-http2, versões 1.0.0 a 1.19.1

Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço, causado por um par de rede que envie um bloco de cabeçalho codificado em HPACK especialmente criado. Esse ataque afeta o swift-nio-http2 e pode ser desencadeado pelo envio de um bloco de cabeçalho HPACK malicioso em qualquer um dos quadros que transportem HPACK em uma conexão HTTP/2, como HEADERS e PUSH PROMISE, em qualquer posição. O ataque requer pouco esforço e pode ser repetido para causar uma negação de serviço substancial, levando o servidor a travar e a interromper todas as conexões em andamento. Embora o ataque em si não apresente riscos à confidencialidade ou integridade, travamentos repentinos de processos podem levar a violações de invariantes nos serviços, potencialmente desencadeando condições de erro com tais riscos.

Para as versões 1.0.0 a 1.19.1 do swift-nio-http2, atualize para a versão 1.19.2 ou posterior para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para mitigar o risco de ataques de negação de serviço.