Vulnerabilidad en quic-go (CVE-2024-22189)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/04/2024
Última modificación:
15/04/2026
Descripción
quic-go es una implementación del protocolo QUIC en Go. Antes de la versión 0.42.0, un atacante podía hacer que su par se quedara sin memoria enviando una gran cantidad de tramas `NEW_CONNECTION_ID` que retiraban los ID de conexión antiguos. Se supone que el receptor debe responder a cada cuadro de retiro con un cuadro `RETIRE_CONNECTION_ID`. El atacante puede evitar que el receptor envíe (la gran mayoría de) estas tramas `RETIRE_CONNECTION_ID` colapsando la ventana de congestión del par (al reconocer selectivamente los paquetes recibidos) y manipulando la estimación de RTT del par. La versión 0.42.0 contiene un parche para el problema. No hay workarounds disponibles.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/quic-go/quic-go/commit/4a99b816ae3ab03ae5449d15aac45147c85ed47a
- https://github.com/quic-go/quic-go/security/advisories/GHSA-c33x-xqrf-c478
- https://seemann.io/posts/2024-03-19-exploiting-quics-connection-id-management
- https://www.youtube.com/watch?v=JqXtYcZAtIA&t=3683s
- https://github.com/quic-go/quic-go/commit/4a99b816ae3ab03ae5449d15aac45147c85ed47a
- https://github.com/quic-go/quic-go/security/advisories/GHSA-c33x-xqrf-c478
- https://seemann.io/posts/2024-03-19-exploiting-quics-connection-id-management
- https://www.youtube.com/watch?v=JqXtYcZAtIA&t=3683s