H2O 允许使用 0-RTT 绕过基于地址的访问控制(CVE-2024-45397)

admin 2024-10-13 02:17:49 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
H2O 允许使用 0-RTT 绕过基于地址的访问控制(CVE-2024-45397)

CVE编号

CVE-2024-45397

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-11
漏洞描述
H2O 是一个支持 HTTP/1.x、HTTP/2 和 HTTP/3 的 HTTP 服务器。当接收到使用 TCP Fast Open 或 QUIC 0-RTT 数据包上的 TLS/1.3 早期数据的 HTTP 请求,并使用基于 IP 地址的访问控制时,访问控制不会检测和禁止由伪造源地址的数据包传输的 HTTP 请求。这种行为允许网络上的攻击者从被基于地址的访问控制拒绝的地址执行 HTTP 请求。该漏洞已在提交的代码(commit 15ed15a)中得到解决。用户可以通过禁用 TCP FastOpen 和 QUIC 来缓解该问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/h2o/h2o/commit/15ed15a2efb83a77bb4baaa5a119e639c2f6898a
https://github.com/h2o/h2o/security/advisories/GHSA-jf2c-xjcp-wg4c
https://h2o.examp1e.net/configure/http3_directives.html
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-284 访问控制不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0