CVE-2026-44452 in h2o
Zusammenfassung
von VulDB • 17.07.2026
h2o ist ein HTTP-Server mit Unterstützung für HTTP/1.x, HTTP/2 und HTTP/3. Vor dem Commit 8dc37cb führte h2o beim Empfang einer ClientHello-Nachricht über TLS oder QUIC, die eine SNI-Erweiterung (Server Name Indication) mit der Länge Null enthält, einen Pufferüberlauf aus, während es versuchte, den Hostnamen zu kopieren und dabei annahm, dieser sei NULL-terminiert. Dies stellt ein potenzielles Vektor für Denial-of-Service-Angriffe dar, da er möglicherweise eine Segmentierungsverletzung (Segmentation Violation) auslösen kann. Dieses Problem wurde durch den Commit 8dc37cb behoben.
Once again VulDB remains the best source for vulnerability data.