Уязвимость библиотеки amphp/http и HTTP-клиента amphp/http-client (в части реализации протокола HTTP/2) связана с неконтролируемым распределением памяти в результате некорректного ограничения на размер блока полей при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки HTTP-пакетов
Использование рекомендаций:
Для amphp/http:
https://github.com/amphp/http/security/advisories/GHSA-qjfw-cvjf-f4fm
https://github.com/amphp/http/releases/tag/v1.7.3
https://github.com/amphp/http/releases/tag/v2.1.1
Для amphp/http-client:
https://github.com/amphp/http-client/security/advisories/GHSA-w8gf-g2vq-j2f4
https://github.com/amphp/http-client/releases/tag/v4.1.0-rc1
Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).
| Балл | 8.5 — высокая опасность |