Source |
CVE Liste |
Identifiant |
8403671 |
Date de publication |
2023-10-31 16:15:09 (vue: 2023-10-31 19:08:11) |
Titre |
CVE-2023-46239 |
Texte |
Quic-Go est une implémentation du protocole de quic dans GO.À partir de la version 0.37.0 et avant la version 0.37.3, en sérialisant un cadre ACK après le Crytpo qui permet à un nœud de terminer la poignée de main, un nœud distant pourrait déclencher une déréférence du pointeur nul (menant à une panique) lorsque le nœud a tentéPour supprimer l'espace numéro de paquet de poignée de main.Un attaquant peut faire baisser un nœud de quic-go avec un effort très minime.L'achèvement de la poignée de main quic nécessite uniquement l'envoi et la réception de quelques paquets.La version 0.37.3 contient un patch.Les versions avant 0,37.0 ne sont pas affectées.
quic-go is an implementation of the QUIC protocol in Go. Starting in version 0.37.0 and prior to version 0.37.3, by serializing an ACK frame after the CRYTPO that allows a node to complete the handshake, a remote node could trigger a nil pointer dereference (leading to a panic) when the node attempted to drop the Handshake packet number space. An attacker can bring down a quic-go node with very minimal effort. Completing the QUIC handshake only requires sending and receiving a few packets. Version 0.37.3 contains a patch. Versions before 0.37.0 are not affected. |
Envoyé |
Oui |
Condensat |
2023 46239 ack affected after allows are attacker attempted before bring can complete completing contains could crytpo cve dereference down drop effort frame handshake implementation leading minimal nil node not number only packet packets panic patch pointer prior protocol quic receiving remote requires sending serializing space starting trigger version versions very when |
Tags |
|
Stories |
|
Notes |
|
Move |
|