Craft Jul 12, 2026 at 11:177Zu Lesezeichen hinzufügen

Cloudflare hat ein Wettbewerbsfehler in hyper, der HTTP/1-Crate des Rust-Ökosystems, identifiziert: Unter bestimmten zeitlichen Übereinstimmungen konnte eine große Antwort stillschweigend gekürzt werden - 200 OK, Körper abgeschnitten. Fix upstream.
In einfachen Worten. Eine Race Condition in hyper (der HTTP/1-Bibliothek, die von der gesamten Rust-Stack verwendet wird) konnte unter ungünstigen Timing-Bedingungen eine große HTTP-Antwort stillschweigend kürzen - der Server sendet einen 200 OK mit einem unvollständigen Körper, ohne einen Fehler auszulösen. Cloudflare hat das Problem gefunden, gepatcht und veröffentlicht.
InfoQ berichtet (2026-07-12), dass die Cloudflare-Teams eine seltene Race Condition in der HTTP/1-Implementierung von hyper dokumentiert und behoben haben. Der Fehler, der seit mehreren Jahren besteht, trat nur unter sehr präzisen Timing-Bedingungen auf: Die Antwort wurde dann unterwegs abgeschnitten, während ein Status 200 OK zurückgesendet wurde. Der Fix ist upstream, die Veröffentlichung wurde bekannt gegeben.
Drei Dinge, die wichtig sind. Erstens: Bei Cloudflare sind es die zeitlichen Zufälle, die zu Fehlern werden - nicht die Logik. Zweitens: Die Tatsache, dass Cloudflare einen mehrjährigen Fehler in einer so zentralen Crate isolieren und beheben konnte, erinnert daran, warum sich Rust in der Netzwerkschicht etabliert hat - die Lesbarkeit des Codes erzwingt die Reproduzierbarkeit des Fehlers. Drittens: Niemand außer einem Betreiber im Maßstab von Cloudflare hätte das gesehen. Das ist der Preis und der Nutzen der Open-Source-Mutualisierung.
Die Versionen von hyper, die von Axum, Actix, reqwest eingebettet sind - die Verbreitung des Fixes wird mehrere Wochen im Ökosystem dauern.
So what. HTTP/1 ist nie fertig. Rust oder nicht, ein Server, der mit dem Internet spricht, ist ein Gebiet für unsichtbare Konkurrenz - und ein 200 OK garantiert nicht, dass der Körper angekommen ist.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
Un bug comme ça montre qu'on peut rater des trucs même avec des tests. Content que Cloudflare l'ait repéré avant qu'il fasse plus de dégâts.
Est-ce que ce bug a pu toucher d'autres implémentations HTTP/1 ou c'est spécifique à hyper ?
Curieux, on se demande depuis combien de temps ce bug passait inaperçu.
Difficile à dire, mais des bugs comme ça, ça traîne souvent sans qu'on les remarque.
Un bug comme ça, ça rappelle l'importance des tests pour les systèmes critiques. Est-ce que ça peut nuire à la confiance dans Rust pour les applications sensibles ?
Super trouvaille ! Je me demande comment ça affecte la performance et la fiabilité en production.
Ce bug prouve qu'aucun langage n'est infaillible. J'espère que le correctif est bien testé.
J'espère que ce bug n'a pas trop impacté les utilisateurs de Cloudflare. Ça doit être important de savoir à quel point c'était grave.