Erlang OTPのinets httpdモジュールには、HTTPリクエストの不整合解釈（いわゆる「HTTPリクエストスマグリング」）の脆弱性が存在し、HTTPリクエストスマグリング攻撃を受ける可能性があります。この脆弱性は、プログラムファイルlib/inets/src/http_server/httpd_request.erlおよびプログラムルーチンhttpd_request:parse_headers/7に関連しています。サーバーは重複するContent-Lengthヘッダーを拒否したり正規化したりしません。リクエスト内で最も早期のContent-Lengthがボディ解析に使用される一方で、一般的なリバースプロキシであるnginx、Apache httpd、Envoyは最後のContent-Length値を尊重します。これはRFC 9112セクション6.3に違反し、フロントエンドとバックエンドの非同期処理を生じさせ、攻撃者が制御するバイトが次のリクエストの開始としてキューに残されることを許してしまいます。この問題はOTP 17.0からOTP 28.4.1、OTP 27.3.4.9およびOTP 26.2.5.18までのOTPバージョンに影響を及ぼし、対応するinetsのバージョンでは5.10から9.6.1、9.3.2.3および9.1.0.5までに影響が確認されています。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。