PT-2024-31607 · H2O · H2O
Lowkazu
·
Publicado
2024-10-11
·
Atualizado
2024-11-12
·
CVE-2024-45403
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas:
Versões do h2o anteriores àquela que contém o commit 1ed32b2
Descrição:
A vulnerabilidade afeta o h2o, um servidor HTTP compatível com HTTP/1.x, HTTP/2 e HTTP/3. Quando configurado como proxy reverso, o h2o pode travar devido a uma falha de asserção caso as solicitações HTTP/3 sejam canceladas pelo cliente. Essa falha pode ser explorada para lançar um ataque de negação de serviço. Embora o servidor h2o autônomo reinicie automaticamente por padrão, minimizando o impacto, as solicitações HTTP simultâneas ainda serão interrompidas.
Recomendações:
Para mitigar o problema, os usuários podem desativar o uso de HTTP/3 até que um patch esteja disponível.
Atualize para a versão que contém o commit 1ed32b2 para resolver o problema.
Exploit
Correção
DoS
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
H2O