python-engineio: correção de vulnerabilidade de negação de serviço em ASGI e Aiohttp WebSocket
Em python-engineio, o tamanho das mensagens recebidas não era verificado antes de carregá-las na memória para duas configurações: requisições POST com transporte ASGI long polling e mensagens WebSocket com transporte Aiohttp WebSocket.
O que mudou
Em python-engineio, o tamanho das mensagens recebidas não era verificado antes de carregá-las na memória para duas configurações: requisições POST com transporte ASGI long polling e mensagens WebSocket com transporte Aiohttp WebSocket. A versão 4.13.2 corrige isso descartando requisições grandes ou não autenticadas no ASGI e configurando o tamanho máximo de payload na camada WebSocket do Aiohttp.
Quem isso afeta
Usuários do servidor python-engineio com transporte ASGI long polling ou transporte WebSocket Aiohttp.
O que fazer hoje
Atualize python-engineio para a versão 4.13.2 ou superior.