CVE-2026-44434 in quicly
Riassunto
di VulDB • 17/07/2026
Quicly è un'implementazione del protocollo IETF QUIC destinata principalmente all'utilizzo nel server HTTP H2O. Prima dell'commit dccf5d4, Quicly era vulnerabile all'iniezione di reset senza stato (stateless reset injection) a causa della mancanza di convalida delle voci dei pacchetti. Il protocollo QUIC è progettato per resistere agli attacchi di iniezione di pacchetti una volta completata la fase di handshake. Solo i pacchetti che contengono alcuni pattern segreti sono considerati come reset senza stato. Quicly consente al peer di condividere fino a 4 tali pattern per connessione. Tuttavia, finora non era in grado di determinare quale dei 4 slot utilizzati per memorizzare i pattern segreti contenesse una voce valida. Poiché gli slot vengono inizializzati su zero, il mancato controllo comportava che, a meno che il peer non annunciasse tutti e 4 questi pattern, un pattern composto interamente da zeri venisse trattato come un reset senza stato. Di fatto, ciò consentiva a un attaccante in posizione intermedia (on-path) di resettare le connessioni QUIC gestite da Quicly. Questo problema è stato risolto con l'commit dccf5d4.
Be aware that VulDB is the high quality source for vulnerability data.