hyper is an HTTP library for Rust. In versions prior to 0.14.10, hyper's HTTP server and client code had a flaw that could trigger an integer overflow when decoding chunk sizes that are too big. This allows possible data loss, or if combined with an upstream HTTP proxy that allows chunk sizes larger than hyper does, can result in "request smuggling" or "desync attacks." The vulnerability is patched in version 0.14.10. Two possible workarounds exist. One may reject requests manually that contain a `Transfer-Encoding` header or ensure any upstream proxy rejects `Transfer-Encoding` chunk sizes greater than what fits in 64-bit unsigned integers.
hyper es una biblioteca HTTP para Rust. En versiones anteriores a 0.14.10, el código del servidor y del cliente HTTP de hyper presentaba un fallo que podía desencadenar un desbordamiento de enteros cuando se descodifica tamaños de trozos demasiado grandes. Esto permite una posible pérdida de datos, o si es combinado con un proxy HTTP upstream que permite tamaños de chunk más grandes que hyper, puede resultar en "request smuggling" o "desync attacks". La vulnerabilidad está parcheada en la versión 0.14.10. Se presentan dos posibles soluciones. Uno puede rechazar manualmente las peticiones que contengan una cabecera "Transfer-Encoding" o asegurarse de que cualquier proxy upstream rechaza tamaños de trozos "Transfer-Encoding" superiores a los que caben en enteros sin signo de 64 bits
