CVE-2024-23644

Versões do trillium-http anteriores à 0.3.12

Versões do trillium-client anteriores à 0.5.4

A validação insuficiente dos valores dos cabeçalhos de saída pode levar a ataques de divisão de solicitação ou de resposta em cenários em que os invasores tenham controle suficiente sobre os cabeçalhos. Isso afeta apenas casos de uso em que os invasores têm controle sobre os cabeçalhos de solicitação e podem inserir sequências “r ”. Especificamente, se entradas não confiáveis e não validadas forem inseridas em nomes ou valores de cabeçalhos. Os valores de saída trillium http::HeaderValue e trillium http::HeaderName podem ser construídos de forma infalível e não eram verificados quanto a bytes ilegais ao enviar solicitações do cliente ou respostas do servidor. Assim, se um invasor tiver controle suficiente sobre os valores (ou nomes) dos cabeçalhos em uma solicitação ou resposta a ponto de poder injetar sequências r , ele poderá desincronizar o cliente e o servidor e, então, aproveitar a oportunidade para obter controle sobre outras partes das solicitações ou respostas.

Para versões do trillium-http anteriores à 0.3.12, atualize para a versão 0.3.12 ou posterior.

Para versões do trillium-client anteriores à 0.5.4, atualize para a versão 0.5.4 ou posterior.

Como solução temporária, os serviços e aplicativos clientes do Trillium devem sanitizar ou validar entradas não confiáveis incluídas nos valores e nomes dos cabeçalhos. Caracteres de retorno de carro, nova linha e nulo não são permitidos.