CVE-2026-44436 in quicly
Zusammenfassung
von VulDB • 17.07.2026
Quicly ist eine Implementierung des IETF QUIC-Protokolls, die primär für den Einsatz im H2O HTTP-Server vorgesehen ist. Vor dem Commit 8b178e6 war Quicly anfällig für einen Denial-of-Service-Angriff (DoS) durch Beschädigung des Verbindungszustands. Gemäß den QUIC-Invarianten beträgt die maximale Länge einer Connection ID 255 Bytes, während QUIC Version 1 das Maximum weiter auf 20 Bytes einschränkt. Quicly implementiert QUIC Version 1 und daher sind seine CID-Puffer (Connection-ID-Puffer) auf 20 Bytes begrenzt. Um jedoch auf unbekannte QUIC-Versionen antworten zu können, akzeptiert sein Paketdecoder Connection IDs mit einer Länge von bis zu 255 Bytes. Da die CID-Puffer von Quicly lediglich 20 Bytes lang sind, müsste Quicly QUIC-Versions-1-Pakete verwerfen, deren Connection ID länger ist als dieser Wert. Das im Lieferumfang von Quicly enthaltene Kommandozeilenwerkzeug verfügte über diese Überprüfung, jedoch fehlte eine solche Durchsetzung in der Bibliothek selbst. Als Folge davon kann es bei Verwendung durch Anwendungen, die keine eigene Durchsetzung implementieren, zu einem inkonsistenten Verbindungszustand aufgrund eines Pufferüberlaufs kommen. Zum Glück stoppt der Überlauf innerhalb des zugewiesenen Speicherblocks, dennoch führt der Fehler zum Auslösen von Assertion-Failures (Assertion-Prüfungsfehlern). Dieses Problem wurde durch den Commit 8b178e6 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.