CVE-2026-44433 in quicly
要約
〜によって VulDB • 2026年07月17日
Quiclyは、主にH20 HTTPサーバー内で使用することを目的としたIETF QUICプロトコルの実装です。コミット8b178e6以前では、敵対的なピアが許可されている最大のオフセットに単一バイトのデータを持つSTREAMフレームを送信することで追加フロー制御クレジットを取得でき、特定の状況下でサービス妨害(DoS)を引き起こす可能性があります。アプリケーションが到着順序が異なるすべてのデータを最大受信オフセットまで保存するために受信バッファを準備している場合、この動作によりピアはわずかなパケットしか送信しないにもかかわらず、アプリケーションが大規模なメモリ割り当てを行う結果となり、メモリの枯渇を招くことがあります。さらに、この脆弱性の深刻度は、受信バッファの割り当て戦略に加え、アプリケーションがストリームの同時実行数をどのように制御するかにも依存します。H20 HTTPサーバーの場合、デフォルト設定では、このバグにより接続ごとに割り当てられる最大メモリ量が約4倍に増加します。本問題はコミット8b178e6によって修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.