CVE-2024-1410 in quiche정보

요약

\~에 의해 VulDB • 2026. 05. 18.

Cloudflare quiche에서 연결 ID 은퇴와 관련된 정보의 무제한 저장으로 인해 과도한 리소스 소비로 이어질 수 있는 취약점이 발견되었습니다. 각 QUIC 연결은 연결 식별자(ID) 집합을 보유합니다. RFC 9000 섹션 5.1(https://datatracker.ietf.org/doc/html/rfc9000#section-5.1)을 참조하십시오. 엔드포인트는 active_connection_id_limit 전송 매개변수를 사용하여 지원할 활성 연결 ID의 수를 선언합니다. 피어는 NEW_CONNECTION_ID 프레임을 사용하여 새 ID를 생성할 수 있지만, 활성 ID 제한 내에 머물러야 합니다. 이는 이전 ID의 은퇴를 통해 수행되며, 엔드포인트는 retire_prior_to 필드에 값을 포함하는 NEW_CONNECTION_ID를 보내며, 이는 확인용으로 RETIRE_CONNECTION_ID 프레임을 유발합니다. 인증되지 않은 원격 공격자는 NEW_CONNECTION_ID 프레임을 보내고 연결을 조작(예: 피어의 혼잡 창 크기를 제한)하여 RETIRE_CONNECTION_ID 프레임이 수신되는 속도보다 느린 속도로만 전송되도록 함으로써 이 취약점을 악용할 수 있습니다. 그 결과, 연결 ID와 관련된 정보가 무제한 큐에 저장됩니다. 이 문제를 해결한 가장 초기 버전은 Quiche 0.19.2 및 0.20.1입니다. 영향을 받는 버전에는 우회 방법이 없습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

출처

Interested in the pricing of exploits?

See the underground prices here!