Vulnerabilidad no parcheada XRING en XQUIC permite a clientes remotos hacer que se caigan servidores HTTP/3
Resumen
Un error en la variable en una línea del código de XQUIC, la biblioteca de QUIC y HTTP/3 de Alibaba, permite a cualquier cliente remoto hacer que se caiga el servidor con un breve bursto de tráfico completamente legal. La vulnerabilidad, apodada XRING, no requiere inicio de sesión ni paquetes malformados y puede ser explotada con aproximadamente 260 bytes de tráfico QPACK normal. Esto representa un riesgo significativo para la estabilidad de los servidores HTTP/3 que utilizan XQUIC.
A single wrong variable on one line in XQUIC, Alibaba's QUIC and HTTP/3 library, lets any remote client crash the server with a short burst of completely legal traffic. There is no patch. FoxIO researcher Sébastien Féry disclosed the flaw on July 8 and nicknamed it XRING. He says it needs no login and no malformed packets: about 260 bytes of ordinary QPACK traffic takes the server