🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma única variável errada em uma linha no XQUIC, a biblioteca QUIC e HTTP/3 do Alibaba, permite que qualquer cliente remoto trave o servidor com uma pequena explosão de tráfego completamente legal. Não há patch.
O pesquisador da FoxIO, Sébastien Féry, revelou a falha em 8 de julho e a apelidou de XRING. Ele diz que não precisa de login nem de pacotes malformados: cerca de 260 bytes de tráfego QPACK comum interrompem o processo do servidor.
O XQUIC é de código aberto, então o risco não é apenas do Alibaba: qualquer servidor que o incorpore e sirva HTTP/3 com as configurações padrão do QPACK será exposto. Isso inclui o Tengine, o servidor web baseado em Nginx do Alibaba, que a FoxIO afirma estar à frente da nuvem e do CDN da empresa em sites como Taobao e Alipay.
Todas as versões até a versão 1.9.4, a mais recente, são afetadas. Não há lançamento fixo nem CVE a partir de 10 de julho. Até que uma correção seja enviada, as operadoras podem definir SETTINGS_QPACK_MAX_TABLE_CAPACITY como 0, o que desativa a tabela dinâmica do QPACK ou descarta totalmente o suporte HTTP/3.
O bug reside na forma como o HTTP/3 compacta os cabeçalhos. Para evitar o envio do mesmo cabeçalho (digamos, agente do usuário) repetidamente, o HTTP/3 usa QPACK. Ele mantém uma tabela compartilhada que o cliente orienta o servidor a construir e redimensionar por meio de um canal de controle dedicado, o fluxo do codificador.
O XQUIC armazena os bytes dessa tabela em um buffer de anel, um bloco fixo de memória onde os dados são agrupados do final para o início depois de preenchidos.
Quando o cliente solicita o aumento da tabela, o XQUIC aloca um buffer maior e copia os dados antigos. Essa cópia tem quatro casos, dependendo se os dados estão agrupados no buffer antigo, no novo, em ambos ou em nenhum. Em um deles, o código dimensiona os dados finais restantes em relação à capacidade do buffer novo e maior, em vez do antigo. Exagera muito.
Aumente uma tabela de 64 bytes com o cursor de gravação próximo ao final e redimensione para 65, e o XQUIC decide que há 70 bytes finais para mover quando na verdade há 6.
Esse número errado flui para uma cópia da memória. O comprimento da cópia vem da subtração da contagem excessiva de um valor menor. Como esse comprimento é um size_t não assinado, ele excede e quebra até um número quase máximo, e a cópia é executada no final da memória.
Na versão de lançamento do FoxIO no Ubuntu 26.04, _FORTIFY_SOURCE=2 da glibc detectou o comprimento incorreto e encerrou o processo. Sem essa verificação, a cópia grava fora dos limites, do buffer antigo até o final do novo. Féry apresentou uma falha, mas não testou se essa corrupção poderia ser ainda mais explorada.
Nenhum dos valores do ataque quebra as regras do QPACK. XQUIC anuncia um limite de tabela dinâmica de 16 KiB por padrão; a carga útil pede 64 bytes e depois 65. O cliente só precisa direcionar a tabela para o layout empacotado exato que atinge a ramificação defeituosa. A FoxIO afirma que o erro ocorreu no XQUIC desde seu primeiro lançamento público em janeiro de 2022, e uma prova de conceito é pública.
XRING é o mais recente de uma série de falhas remotas nas pilhas HTTP/2 e HTTP/3. Três semanas antes, a THN relatou um uso após liberação no módulo HTTP/3 do NGINX (CVE-2026-42530) que um cliente remoto e não autenticado poderia alcançar através do mesmo fluxo do codificador QPACK abusos de XRING, uma classe de bug diferente na mesma superfície de ataque.
Em junho, a bomba HTTP/2 da Califórnia causou negação remota de serviço contra Nginx, Apache, IIS e Envoy ao abusar do HPACK, a compactação de cabeçalho do HTTP/2 e o antecessor do QPACK.
Em fevereiro, o HAProxy corrigiu duas falhas do QUIC, uma delas um estouro de número inteiro durante a validação do token, o mesmo tipo de bug por trás do XRING, embora precisasse de um pacote malformado, enquanto o XRING não precisa de nenhum. Essa diferença é a questão: entrada legal, um deslize aritmético, um servidor morto.
FoxIO demonstrou uma falha, não uma execução de código, e não relatou nenhuma exploração em estado selvagem. Afirma que enviou um e-mail ao Alibaba em 7 de abril sobre a política de segurança do projeto, que promete uma resposta dentro de três dias úteis, e depois enviou mais quatro vezes até 9 de maio sem resposta antes de ir a público.
O Hacker News perguntou ao Alibaba se uma correção e um CVE estão chegando e se as cinco tentativas de divulgação da FoxIO chegaram à sua equipe de segurança. Ele perguntou à FoxIO se a falha foi explorada em estado selvagem e se a gravação do heap subjacente pode ser evitada após uma falha. A história será atualizada com qualquer resposta.
O pesquisador da FoxIO, Sébastien Féry, revelou a falha em 8 de julho e a apelidou de XRING. Ele diz que não precisa de login nem de pacotes malformados: cerca de 260 bytes de tráfego QPACK comum interrompem o processo do servidor.
O XQUIC é de código aberto, então o risco não é apenas do Alibaba: qualquer servidor que o incorpore e sirva HTTP/3 com as configurações padrão do QPACK será exposto. Isso inclui o Tengine, o servidor web baseado em Nginx do Alibaba, que a FoxIO afirma estar à frente da nuvem e do CDN da empresa em sites como Taobao e Alipay.
Todas as versões até a versão 1.9.4, a mais recente, são afetadas. Não há lançamento fixo nem CVE a partir de 10 de julho. Até que uma correção seja enviada, as operadoras podem definir SETTINGS_QPACK_MAX_TABLE_CAPACITY como 0, o que desativa a tabela dinâmica do QPACK ou descarta totalmente o suporte HTTP/3.
O bug reside na forma como o HTTP/3 compacta os cabeçalhos. Para evitar o envio do mesmo cabeçalho (digamos, agente do usuário) repetidamente, o HTTP/3 usa QPACK. Ele mantém uma tabela compartilhada que o cliente orienta o servidor a construir e redimensionar por meio de um canal de controle dedicado, o fluxo do codificador.
O XQUIC armazena os bytes dessa tabela em um buffer de anel, um bloco fixo de memória onde os dados são agrupados do final para o início depois de preenchidos.
Quando o cliente solicita o aumento da tabela, o XQUIC aloca um buffer maior e copia os dados antigos. Essa cópia tem quatro casos, dependendo se os dados estão agrupados no buffer antigo, no novo, em ambos ou em nenhum. Em um deles, o código dimensiona os dados finais restantes em relação à capacidade do buffer novo e maior, em vez do antigo. Exagera muito.
Aumente uma tabela de 64 bytes com o cursor de gravação próximo ao final e redimensione para 65, e o XQUIC decide que há 70 bytes finais para mover quando na verdade há 6.
Esse número errado flui para uma cópia da memória. O comprimento da cópia vem da subtração da contagem excessiva de um valor menor. Como esse comprimento é um size_t não assinado, ele excede e quebra até um número quase máximo, e a cópia é executada no final da memória.
Na versão de lançamento do FoxIO no Ubuntu 26.04, _FORTIFY_SOURCE=2 da glibc detectou o comprimento incorreto e encerrou o processo. Sem essa verificação, a cópia grava fora dos limites, do buffer antigo até o final do novo. Féry apresentou uma falha, mas não testou se essa corrupção poderia ser ainda mais explorada.
Nenhum dos valores do ataque quebra as regras do QPACK. XQUIC anuncia um limite de tabela dinâmica de 16 KiB por padrão; a carga útil pede 64 bytes e depois 65. O cliente só precisa direcionar a tabela para o layout empacotado exato que atinge a ramificação defeituosa. A FoxIO afirma que o erro ocorreu no XQUIC desde seu primeiro lançamento público em janeiro de 2022, e uma prova de conceito é pública.
XRING é o mais recente de uma série de falhas remotas nas pilhas HTTP/2 e HTTP/3. Três semanas antes, a THN relatou um uso após liberação no módulo HTTP/3 do NGINX (CVE-2026-42530) que um cliente remoto e não autenticado poderia alcançar através do mesmo fluxo do codificador QPACK abusos de XRING, uma classe de bug diferente na mesma superfície de ataque.
Em junho, a bomba HTTP/2 da Califórnia causou negação remota de serviço contra Nginx, Apache, IIS e Envoy ao abusar do HPACK, a compactação de cabeçalho do HTTP/2 e o antecessor do QPACK.
Em fevereiro, o HAProxy corrigiu duas falhas do QUIC, uma delas um estouro de número inteiro durante a validação do token, o mesmo tipo de bug por trás do XRING, embora precisasse de um pacote malformado, enquanto o XRING não precisa de nenhum. Essa diferença é a questão: entrada legal, um deslize aritmético, um servidor morto.
FoxIO demonstrou uma falha, não uma execução de código, e não relatou nenhuma exploração em estado selvagem. Afirma que enviou um e-mail ao Alibaba em 7 de abril sobre a política de segurança do projeto, que promete uma resposta dentro de três dias úteis, e depois enviou mais quatro vezes até 9 de maio sem resposta antes de ir a público.
O Hacker News perguntou ao Alibaba se uma correção e um CVE estão chegando e se as cinco tentativas de divulgação da FoxIO chegaram à sua equipe de segurança. Ele perguntou à FoxIO se a falha foi explorada em estado selvagem e se a gravação do heap subjacente pode ser evitada após uma falha. A história será atualizada com qualquer resposta.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #xring #não #corrigida #no #xquic #permite #que #clientes #remotos #travem #servidores #http/3
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário