Vulnerabilidad en h2o (CVE-2024-45403)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/10/2024

Última modificación:

12/11/2024

Descripción

h2o es un servidor HTTP compatible con HTTP/1.x, HTTP/2 y HTTP/3. Cuando h2o está configurado como un proxy inverso y el cliente cancela las solicitudes HTTP/3, h2o puede bloquearse debido a un error de aserción. Un atacante puede aprovechar el bloqueo para lanzar un ataque de denegación de servicio. De forma predeterminada, el servidor independiente h2o se reinicia automáticamente, lo que minimiza el impacto. Sin embargo, las solicitudes HTTP que se atendieron simultáneamente seguirán siendo interrumpidas. La vulnerabilidad se ha solucionado en el commit 1ed32b2. Los usuarios pueden desactivar el uso de HTTP/3 para mitigar el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto