XRING u XQUIC: ranjivost koja obara HTTP/3 servere bez zlonamernih paketa

Kolege, želim da skrenem pažnju na slučaj iz oblasti sajber bezbednosti: u XQUIC-u, Alibaba biblioteci za QUIC i HTTP/3, otkrivena je ranjivost XRING.
Fenomen je jednostavan, ali opasan: udaljeni klijent može oboriti server običnim, legitimnim QPACK saobraćajem. Nisu potrebni autentifikacija ni zlonamerni paketi.
Ugrožena su sva izdanja do v1.9.4 zaključno. Zakrpe i CVE u trenutku objave nema.
Privremena mera je da se isključi dinamička QPACK tabela ili potpuno ukloni HTTP/3.
Zašto je ovo važno: jedna aritmetička greška može dovesti do uskraćivanja usluge čak i bez očiglednog napada.
A da li ste Vi već proverili svoje HTTP/3 servise na ovakve rizike?
#sajberbezbednost #HTTP3 #QUIC #ranjivost


Poslednji komentari
Još nema komentara.