quic-go 受到 Linux 上的 ICMP 数据包过大注入攻击 (CVE-2024-53259) 的影响
CVE编号
CVE-2024-53259
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
quic-go是Go语言中实现的QUIC协议的实现。一个离路攻击者可以注入一个ICMP数据包过大的数据包。由于受影响的quic-go版本使用了IP_PMTUDISC_DO,内核在发送消息时会返回“消息太大”的错误,即当quic-go尝试发送超过ICMP数据包中声称的MTU的数据包时。通过将此值设置为小于1200字节(QUIC的最小MTU),攻击者可以中断QUIC连接。重要的是,这可以在握手完成后进行,从而绕过应用程序层可能实现的任何TCP回退(例如,如果无法建立QUIC连接,许多浏览器会回退到使用TCP的HTTP)。攻击者至少需要知道客户端的IP和端口对来发起攻击。此漏洞已在0.48.2版本中修复。
解决建议
"将组件 github.com/quic-go/quic-go 升级至 0.48.2 及以上版本"
参考链接
https://github.com/quic-go/quic-go/commit/ca31dd355cbe5fc6c5807992d9d1149c66c96a50
https://github.com/quic-go/quic-go/pull/4729
https://github.com/quic-go/quic-go/releases/tag/v0.48.2
https://github.com/quic-go/quic-go/security/advisories/GHSA-px8v-pp82-rcvr
文章评论