Vulnerabilidad en quic-go (CVE-2024-53259)

quic-go es una implementación del protocolo QUIC en Go. Un atacante que no se encuentre en la ruta de acceso puede inyectar un paquete ICMP de tamaño excesivo. Dado que las versiones de quic-go afectadas utilizan IP_PMTUDISC_DO, el núcleo devolvería un error de "mensaje demasiado grande" en sendmsg, es decir, cuando quic-go intenta enviar un paquete que excede la MTU indicada en ese paquete ICMP. Al establecer este valor en un valor menor a 1200 bytes (la MTU mínima para QUIC), el atacante puede interrumpir una conexión QUIC. Fundamentalmente, esto se puede hacer después de completar el protocolo de enlace, evitando así cualquier respaldo TCP que pueda implementarse en la capa de aplicación (por ejemplo, muchos navegadores recurren a HTTP sobre TCP si no pueden establecer una conexión QUIC). El atacante necesita al menos conocer la IP del cliente y la tupla de puertos para montar un ataque. Esta vulnerabilidad se corrigió en 0.48.2.