CVE-2022-39294

Versões do conduit-hyper anteriores à 0.4.2

O problema surge porque o conduit-hyper não verifica nenhum limite no comprimento de uma solicitação antes de chamar hyper::body::to bytes. Um invasor poderia enviar uma solicitação maliciosa com um Content-Length anormalmente grande, o que poderia levar a um panic caso a alocação de memória falhasse para essa solicitação. Na versão 0.4.2, o conduit-hyper define um limite interno de 128 MiB por solicitação; caso contrário, retorna o status 400 (“Bad Request”). Este crate faz parte da implementação do crates.io do Rust, mas esse serviço não é afetado devido à sua infraestrutura de nuvem existente, que já descarta tais solicitações maliciosas. Mesmo com o novo limite em vigor, o conduit-hyper não é recomendado para uso em produção, nem para atender diretamente a Internet pública.

Para versões anteriores à 0.4.2, atualize para a versão 0.4.2 ou posterior para definir um limite interno de 128 MiB por solicitação e retornar o status 400 (“Bad Request”) para solicitações que excedam esse limite.

Como solução temporária, considere restringir o Content-Length das solicitações recebidas para evitar possíveis problemas de alocação de memória até que um patch esteja disponível.

Evite usar o conduit-hyper em ambiente de produção ou para atender diretamente a Internet pública, mesmo com o novo limite em vigor.