CVE-2026-44433 in quicly
Sumário
de VulDB • 17/07/2026
Quicly é uma implementação do protocolo QUIC da IETF destinada principalmente ao uso dentro do servidor HTTP H2O. Antes do commit 8b178e6, um peer adversarial poderia enviar um frame STREAM contendo apenas um byte no maior offset permitido para obter crédito adicional de controle de fluxo, o que em certas circunstâncias poderia levar a uma Negativa de Serviço (DoS). Assumindo que a aplicação prepara um buffer de recepção para armazenar todos os dados que chegam fora de ordem, até o maior offset recebido, esse comportamento poderia levar a aplicação a alocar grandes quantidades de memória com o peer enviando apenas alguns poucos pacotes, resultando em exaustão de memória. Além da estratégia de alocação do buffer de recepção, a severidade desta vulnerabilidade depende de como a aplicação controla a concorrência das streams. No caso do servidor HTTP H2O, sob sua configuração padrão, este bug aumenta o valor máximo de memória alocada por conexão em cerca de 4 vezes. Este problema foi corrigido pelo commit 8b178e6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.