XRING в XQUIC: уязвимость, которая валит HTTP/3 серверы без вредоносных пакетов

Коллеги, хочу обратить внимание на кейс в сфере кибербезопасности: в XQUIC, библиотеке Alibaba для QUIC и HTTP/3, нашли уязвимость XRING.
Явление простое, но опасное: удалённый клиент может уронить сервер обычным легальным QPACK-трафиком. Аутентификация и вредоносные пакеты не нужны.
Под угрозой все релизы до v1.9.4 включительно. Исправления и CVE на момент публикации нет.
Временная мера — отключить динамическую таблицу QPACK или полностью убрать HTTP/3.
Почему это важно: один арифметический сбой может привести к отказу в обслуживании даже без явной атаки.
А Вы уже проверяли свои HTTP/3-сервисы на такие риски?
#кибербезопасность #HTTP3 #QUIC #vulnerability


Последние комментарии
Комментариев пока нет.