CVE-2022-24668

swift-nio-http2, versões 1.0.0 a 1.19.1

Um programa que utilize o swift-nio-http2 está vulnerável a um ataque de negação de serviço causado por um par de rede que envie quadros ALTSVC ou ORIGIN. Esse ataque é causado por um erro lógico após a análise do quadro, mas antes do seu processamento. Os quadros ORIGIN e ALTSVC não são atualmente suportados pelo swift-nio-http2 e devem ser ignorados. No entanto, um caminho de código que os encontra possui, em vez disso, uma armadilha deliberada. O envio de um quadro ALTSVC ou ORIGIN não requer nenhuma permissão especial, portanto, qualquer par de conexão HTTP/2 pode enviar tal quadro. O ataque exige pouco esforço e tem alto impacto na disponibilidade, pois o recebimento do quadro causa uma falha imediata no servidor, interrompendo todas as conexões em andamento e fazendo com que o serviço precise ser reiniciado. O ataque não apresenta riscos de confidencialidade ou integridade por si só, mas falhas repentinas no processo podem levar a violações de invariantes nos serviços, potencialmente desencadeando uma condição de erro com riscos de confidencialidade ou integridade.

Para as versões 1.0.0 a 1.19.1, atualize para a versão 1.19.2 ou posterior para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso a pares não confiáveis para minimizar o risco de exploração.