PT-2024-13721 · Quic-Go+1 · Quic-Go+1

Marten-Seemann

·

Publicado

2024-01-10

·

Atualizado

2025-12-11

·

CVE-2023-49295

CVSS v3.1

6.4

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:H
Nome do software vulnerável e versões afetadas
Versões do quic-go anteriores à 0.37.7
Versões do quic-go anteriores à 0.38.2
Versões do quic-go anteriores à 0.39.4
Descrição
Um invasor pode fazer com que seu par fique sem memória enviando um grande número de quadros PATH CHALLENGE. O destinatário deve responder a cada quadro PATH CHALLENGE com um quadro PATH RESPONSE. No entanto, o invasor pode impedir que o destinatário envie a maioria desses quadros PATH RESPONSE colapsando a janela de congestionamento do par e manipulando a estimativa de RTT do par.
Recomendações
Para versões anteriores à 0.37.7, atualize para a versão 0.37.7 ou posterior.
Para versões anteriores à 0.38.2, atualize para a versão 0.38.2 ou posterior.
Para versões anteriores à 0.39.4, atualize para a versão 0.39.4 ou posterior.

Exploit

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

AZL-33285
AZL-34627
CVE-2023-49295
GHSA-PPXX-5M9H-6VXF
GO-2024-2459
OPENSUSE-SU-2024:13570-1
OPENSUSE-SU-2025:14626-1
RHSA-2024:0855

Produtos afetados

Debian
Quic-Go