Lowkazu

Nome do software vulnerável e versões afetadas: Versões do h2o anteriores àquela que contém o commit 1ed32b2 Descrição: A vulnerabilidade afeta o h2o, um servidor HTTP compatível com HTTP/1.x, HTTP/2 e HTTP/3. Quando configurado como proxy reverso, o h2o pode travar devido a uma falha de asserção caso as solicitações HTTP/3 sejam canceladas pelo cliente. Essa falha pode ser explorada para lançar um ataque de negação de serviço. Embora o servidor h2o autônomo reinicie automaticamente por padrão, minimizando o impacto, as solicitações HTTP simultâneas ainda serão interrompidas. Recomendações: Para mitigar o problema, os usuários podem desativar o uso de HTTP/3 até que um patch esteja disponível. Atualize para a versão que contém o commit 1ed32b2 para resolver o problema.