PT-2024-2591 · Unknown · Amphp/Http+1
Bartekn
·
Publicado
2024-01-05
·
Atualizado
2024-09-06
·
CVE-2024-2653
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Versões do amphp/http anteriores à versão corrigida
Versões do amphp/http-client de 4.0.0-rc10 a 4.0.0
Descrição
O problema está relacionado à biblioteca amphp/http e à sua implementação do protocolo HTTP/2, especificamente à alocação descontrolada de memória devido a limites de tamanho incorretos ao lidar com quadros CONTINUATION. Isso pode resultar em uma falha por falta de memória (OOM). A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço ao enviar pacotes HTTP.
Recomendações
Para versões do amphp/http anteriores à versão corrigida, atualize para uma versão que inclua a correção para este problema.
Para versões do amphp/http-client 4.0.0-rc10 a 4.0.0, atualize para uma versão que inclua a correção para este problema ou posterior.
Como solução alternativa temporária, considere restringir o uso do protocolo HTTP/2 ou limitar o tamanho dos pacotes HTTP recebidos para minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Amphp/Http
Amphp/Http-Client