Bref — это проект с открытым исходным кодом, который помогает пользователям переходить на бессерверные технологии в Amazon Web Services с п…

Bref — это проект с открытым исходным кодом, который помогает пользователям переходить на бессерверные технологии в Amazon Web Services с помощью PHP. Когда Bref до версии 2.1.17 используется со средой выполнения Event-Driven Function и обработчик является `RequestHandlerInterface`, событие Lambda преобразуется в объект PSR7. Во время процесса преобразования, если запрос является MultiPart, каждая часть анализируется. В процессе анализа заголовок `Content-Type` каждой части считывается с помощью библиотеки `Riverline/multipart-parser`. Библиотека в функции `StreamedPart::parseHeaderContent` выполняет медленные многобайтовые строковые операции над значением заголовка. Точнее, функция `mb_convert_encoding` используется с первым (`$string`) и третьим (`$from_encoding`) параметрами, считываемыми из значения заголовка. Злоумышленник может отправлять специально созданные запросы, которые заставят сервер выполнять длительные операции с последующей длительной оплачиваемой продолжительностью. Атака имеет следующие требования и ограничения: Lambda должна использовать среду выполнения Event-Driven Function и обработчик `RequestHandlerInterface` и должна реализовывать как минимум конечную точку, принимающую POST-запросы; злоумышленник может отправлять запросы длиной до 6 МБ (этого достаточно, чтобы вызвать оплачиваемую продолжительность от 400 мс до 500 мс со стандартным образом Lambda 1024 МБ ОЗУ Bref); и если Lambda использует среду выполнения PHP <= php-82, воздействие выше, поскольку оплачиваемую продолжительность в стандартном образе Lambda 1024 МБ ОЗУ Bref можно довести до более чем 900 мс для каждого запроса. Обратите внимание, что уязвимость применяется только к заголовкам, считываемым из тела запроса, поскольку заголовок запроса имеет ограничение, которое допускает общий максимальный размер ~10 КБ. Версия 2.1.17 содержит исправление для этой проблемы.