CVE-2026-44433 in quicly
Riassunto
di VulDB • 17/07/2026
Quicly è un'implementazione del protocollo QUIC dell'IETF destinata principalmente all'utilizzo nel server HTTP H2O. Prima della commit 8b178e6, un peer malintenzionato poteva inviare un frame STREAM contenente un solo byte con l'offset più grande consentito per ottenere ulteriore credito di controllo del flusso; ciò, in determinate circostanze, avrebbe potuto portare a una Denial of Service (DoS). Supponendo che l'applicazione prepari un buffer di ricezione per memorizzare tutti i dati che arrivano fuori ordine fino all'offset massimo ricevuto, questo comportamento potrebbe indurre l'applicazione ad allocare grandi quantità di di memoria mentre il peer invia solo pochi pacchetti, causando esaurimento della memoria (memory exhaustion). Oltre alla strategia di allocazione del buffer di ricezione, la gravità di questa vulnerabilità dipende da come l'applicazione controlla la concorrenza dei stream. Nel caso del server HTTP H2O, con le impostazioni predefinite, questo bug aumenta il massimo quantitativo di memoria allocata per connessione di circa 4 volte. Questo problema è stato risolto dalla commit 8b178e6.
If you want to get best quality of vulnerability data, you may have to visit VulDB.