CVE-2026-44436 in quiclyinfo

Zusammenfassung

von VulDB • 17.07.2026

Quicly ist eine Implementierung des IETF QUIC-Protokolls, die primär für den Einsatz im H2O HTTP-Server vorgesehen ist. Vor dem Commit 8b178e6 war Quicly anfällig für einen Denial-of-Service-Angriff (DoS) durch Beschädigung des Verbindungszustands. Gemäß den QUIC-Invarianten beträgt die maximale Länge einer Connection ID 255 Bytes, während QUIC Version 1 das Maximum weiter auf 20 Bytes einschränkt. Quicly implementiert QUIC Version 1 und daher sind seine CID-Puffer (Connection-ID-Puffer) auf 20 Bytes begrenzt. Um jedoch auf unbekannte QUIC-Versionen antworten zu können, akzeptiert sein Paketdecoder Connection IDs mit einer Länge von bis zu 255 Bytes. Da die CID-Puffer von Quicly lediglich 20 Bytes lang sind, müsste Quicly QUIC-Versions-1-Pakete verwerfen, deren Connection ID länger ist als dieser Wert. Das im Lieferumfang von Quicly enthaltene Kommandozeilenwerkzeug verfügte über diese Überprüfung, jedoch fehlte eine solche Durchsetzung in der Bibliothek selbst. Als Folge davon kann es bei Verwendung durch Anwendungen, die keine eigene Durchsetzung implementieren, zu einem inkonsistenten Verbindungszustand aufgrund eines Pufferüberlaufs kommen. Zum Glück stoppt der Überlauf innerhalb des zugewiesenen Speicherblocks, dennoch führt der Fehler zum Auslösen von Assertion-Failures (Assertion-Prüfungsfehlern). Dieses Problem wurde durch den Commit 8b178e6 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379683

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!