Vulnerabilidad en h2o (CVE-2023-50247)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/12/2023

Última modificación:

19/12/2023

Descripción

h2o es un servidor HTTP compatible con HTTP/1.x, HTTP/2 y HTTP/3. La pila QUIC (rápidamente), tal como la utiliza H2O hasta el commit 43f86e5 (en la versión 2.3.0-beta y anteriores), es susceptible a un ataque de agotamiento de estado. Cuando H2O sirve HTTP/3, un atacante remoto puede aprovechar esta vulnerabilidad para aumentar progresivamente la memoria retenida por la pila QUIC. Esto eventualmente puede causar que H2O cancele debido al agotamiento de la memoria. La vulnerabilidad se resolvió en el commit d67e81d03be12a9d53dc8271af6530f40164cd35. HTTP/1 y HTTP/2 no se ven afectados por esta vulnerabilidad ya que no utilizan QUIC. Los administradores que quieran mitigar este problema sin realizar una actualización pueden desactivar la compatibilidad con HTTP/3.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:dena:h2o::::::::		2.2.6 (incluyendo)
cpe:2.3:a:dena:h2o:2.3.0:beta1::::::
cpe:2.3:a:dena:h2o:2.3.0:beta2::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en h2o (CVE-2023-50247)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información