CVE-2024-38375

Versões do @fastly/js-compute anteriores à 3.16.0

A implementação de várias funções no pacote @fastly/js-compute contém um bug de uso após liberação (use-after-free). Esse bug pode causar perda involuntária de dados se o resultado das funções anteriores for enviado para qualquer outro lugar e, frequentemente, resulta em uma falha no serviço Compute, fazendo com que seja retornado um erro HTTP 500. As funções afetadas incluem FetchEvent.client.tlsCipherOpensslName, FetchEvent.client.tlsProtocol, FetchEvent.client.tlsClientCertificate, FetchEvent.client.tlsJA3MD5, FetchEvent.client.tlsClientHello, CacheEntry.prototype.userMetadata do subsistema fastly:cache e Device.lookup do subsistema fastly:device. Como todas as solicitações ao Compute são isoladas umas das outras, os únicos dados em risco são aqueles presentes em uma única solicitação.

Para versões anteriores à 3.16.0, atualize para a versão 3.16.0 ou posterior para corrigir o bug de uso após liberação (use-after-free).

Como solução alternativa temporária, considere evitar o uso das funções afetadas até que um patch esteja disponível.

Restrinja o acesso aos subsistemas afetados, como fastly:cache e fastly:device, para minimizar o risco de exploração.

Evite usar as funções afetadas, como FetchEvent.client.tlsCipherOpensslName e CacheEntry.prototype.userMetadata, em seu código até que o problema seja resolvido.