.webp?w=696&resize=696,0&ssl=1 "quic-sızma vulnerable")
LSQUIC QuiC uygulamasında, uzak saldırganların bellek tükenme saldırıları yoluyla sunucuları çarpmasına izin veren kritik bir handshake güvenlik açığı.
CVE-2025-54939 olarak adlandırılan ve “QuiC-Leak” olarak adlandırılan güvenlik açığı, küresel olarak en çok kullanılan ikinci Quic uygulamasını etkiler ve potansiyel olarak Litespeed teknolojilerine dayanan HTTP/3 özellikli web sitelerinin% 34’ünden fazlasını etkiler.
Key Takeaways
1. CVE-2025-54939 allows remote DoS via memory exhaustion in QUIC servers.
2. Affects 14% of websites using LSQUIC/LiteSpeed technologies.
3. Upgrade immediately.
Quic-liden güvenlik açığı
Imperva, Quic Leak’in, LSQUIC’in, bağlantı el sıkışmaları kurulmadan önce UDP datagramlarında birleştirilmiş paketlerin nasıl birleşmiş paketlerini kullandığı temel bir zayıflıktan yararlandığını bildirdi.
Güvenlik açığı, saldırganlar birden fazla Quic başlangıç paketini içeren kötü niyetli UDP datagramları oluşturduğunda gerçekleşir, burada yalnızca ilk paket geçerli bir hedef bağlantı kimliği (DCID) içerirken, sonraki paketler geçersiz DCID’ler kullanır.
LSQUIC_ENGINE.C içindeki savunmasız kod yolunda, uygulama eşleşmeyen DCID’lerle paketleri doğru bir şekilde tanımlar ve yok sayar, boyutlarını amplifikasyon saldırısı koruması için bir çöp sayısına ekler.
Bununla birlikte, kritik kusur, LSQUIC_MM_PUT_PACKET_IN işlevini kullanarak Packet_in yapılarının düzgün bir şekilde dağıtılamaması ve kalıcı bellek sızıntıları oluşturulmamasıdır.
Her sızdırılan Packet_in yapısı yaklaşık 96 bayt RAM tüketir ve 10’a kadar birleştirilmiş paket taşıyabilen UDP datagramları ile saldırganlar bant genişliği oranlarının yaklaşık% 70’inde bellek büyümesi sağlayabilir.
Saldırı, bağlantı sınırları, akış kontrolleri ve akış düzenlemesi de dahil olmak üzere tüm standart QuiC bağlantı seviyesi korumalarını atlar, ancak bu önlemler yalnızca el sıkışma tamamlanmasından sonra etkinleştirilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – LSQUIC Kütüphanesi (sürümler <4.3.1)- OpenLitespeed (sürümler <1.8.4)- Litespeed Web Sunucusu (sürümler <6.3.4)- Litespeed Quic Kütüphanesi kullanan herhangi bir uygulama |
| Darbe | Uzaktan Hizmet Reddi (DOS) |
| Önkoşuldan istismar | – Hedef sunucuya ağ erişimi- UDP paketleri gönderme yeteneği- kimlik doğrulaması gerekmez- geçerli bir QuiC oturumu gerekmez- Handshake Sökme |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Hafifletme
Güvenlik açığı 7.5 CVSS 3.1 taban puanı taşır, araştırmacılar tam hizmet kesintisi potansiyeli nedeniyle kullanılabilirlik etkisinin yüksek olarak sınıflandırılması gerektiğini belirtmektedir.
Tüm web sitelerinin% 14’ünden fazlasını küresel olarak güçlendiren Litespeed sunucuları, etkilenen LSquic kütüphanesini doğrudan entegre ettikleri için özellikle savunmasızdır.
Quic Leak’in Lite Speed Web Sunucusu üzerindeki etkisi
512 MIB bellek konfigürasyonu kullanılarak kontrollü test sırasında, araştırmacılar saldırının, bellek kullanımı%100’e ulaştığında OpenLitespeed sunucularını tamamen yanıt verebileceğini gösterdi.
Saldırının etkinliği, durumsuz doğasından kaynaklanıyor – geçerli bir QuiC oturumu kuruluşu veya zamanlama bağımlılıkları yok.
Hemen azaltma, OpenLitespeed 1.8.4 ve Litespeed Web Server 6.3.4’te bulunan LSQUIC sürüm 4.3.1 veya üstüne yükseltmeyi gerektirir.
Hemen yükseltilemeyen kuruluşlar, ağ düzeyinde UDP trafik filtrelemesini uygulamalı, maruz kalan hizmetlerde katı bellek kullanım sınırlarını uygulamalı ve Quic uç noktalarını hedefleyen anormal trafik modelleri için sürekli izlemeyi sürdürmelidir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →