PT-2022-20194 · Quic-Go+1 · Quic-Go+1
Publicado
2022-07-06
·
Atualizado
2024-08-03
·
CVE-2022-30591
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do quic-go até a 0.27.0
Descrição
A vulnerabilidade permite que invasores remotos causem uma negação de serviço (consumo de CPU) por meio de uma variante do Slowloris, na qual são enviadas solicitações QUIC ou HTTP/3 incompletas. Isso ocorre porque o mtu discoverer.go analisa incorretamente o serviço MTU Discovery e, consequentemente, causa um estouro no temporizador de sondagem.
Recomendações
Para as versões do quic-go até a 0.27.0, considere desativar o serviço
mtu discoverer.go até que um patch esteja disponível para prevenir o ataque de negação de serviço.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Quic-Go