quic-go 的路径验证机制可能导致拒绝服务 (CVE-2023-49295)

admin
admin
admin
0
文章
0
评论
2024-01-13 15:09:20 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
quic-go 的路径验证机制可能导致拒绝服务 (CVE-2023-49295)

CVE编号

CVE-2023-49295

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-11
漏洞描述
quic-go是Go语言实现的QUIC协议(RFC 9000,RFC 9001,RFC 9002)的一个库。攻击者可以通过发送大量的PATH_CHALLENGE帧来导致其对等方的内存耗尽。接收方应该对每个PATH_CHALLENGE帧都回复一个PATH_RESPONSE帧。攻击者可以通过折叠对等方的拥塞窗口(通过选择性确认接收到的数据包)和操纵对等方的RTT估计来阻止接收方发送(绝大部分)这些PATH_RESPONSE帧。该漏洞已在版本0.37.7、0.38.2和0.39.4中修补。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/quic-go/quic-go/commit/17fc98c2d81dbe685c19702dc694a9d606ac56dc
https://github.com/quic-go/quic-go/commit/21609ddfeff93668c7625a85eb09f1541fdad965
https://github.com/quic-go/quic-go/commit/3a9c18bcd27a01c551ac9bf8bd2b4bded77c189a
https://github.com/quic-go/quic-go/commit/554d543b50b917369fb1394cc5396d928166cf49
https://github.com/quic-go/quic-go/commit/6cc3d58935426191296171a6c0d1ee965e10534e
https://github.com/quic-go/quic-go/commit/9aaefe19fc3dc8c8917cc87e6128bb56d9e9e6cc
https://github.com/quic-go/quic-go/commit/a0ffa757499913f7be69aa78f573a6aee3430ae4
https://github.com/quic-go/quic-go/commit/d7aa627ebde91cf799ada2a07443faa9b1e5abb8
https://github.com/quic-go/quic-go/security/advisories/GHSA-ppxx-5m9h-6vxf
CVSS3评分 6.4
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 低
  • 完整性 低
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:H
CWE-ID 漏洞类型
CWE-400 未加控制的资源消耗(资源穷尽)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0