Cosa fanno davvero 260 byte
La falla, divulgata l'8 luglio dal ricercatore di FoxIO Sebastien Fery e soprannominata XRING, risiede in QPACK, lo schema di compressione delle intestazioni su cui si appoggia HTTP/3. Nessun valore dell'attacco viola le regole di QPACK. XQUIC dichiara per impostazione predefinita un limite di tabella dinamica di 16 KiB; il payload chiede 64 byte, poi 65, e spinge la tabella nell'esatta disposizione di memoria ripiegata che colpisce un ramo difettoso. Il processo del server si spegne. Nessuna credenziale, nessun pacchetto sovradimensionato, niente che un firewall segnali come malformato.
È proprio questo a renderla pericolosa. La maggior parte dei filtri contro i denial of service cerca volumi elevati o input palesemente errati, e XRING non è né l'uno né l'altro. È una richiesta piccola e ben formata che un client normale potrebbe inviare per sbaglio, e produce il suo danno nel percorso di parsing prima che entri in gioco qualsiasi logica applicativa. Ogni versione di XQUIC fino alla v1.9.4, quella attuale, è colpita, e non esiste una versione corretta a cui aggiornare.
Perché potrebbe eseguirla senza saperlo
XQUIC è la libreria QUIC e HTTP/3 open source di Alibaba, quindi il rischio non riguarda solo Alibaba. È incorporata in Tengine, il server web basato su Nginx dell'azienda, che secondo FoxIO gestisce il cloud e la rete di distribuzione dei contenuti di Alibaba su servizi come Taobao e Alipay. Qualsiasi operatore che abbia portato XQUIC nel proprio stack, o che esegua un prodotto che la include più a monte, eredita la stessa debolezza, che sappia o no che la dipendenza c'è.
Questa è la parte scomoda per chi gestisce infrastruttura web moderna. HTTP/3 è cresciuto in silenzio attraverso le reti CDN e i bilanciatori di carico, e le librerie sottostanti sono condivise. Una falla in un'implementazione di QUIC molto diffusa non è il problema di un singolo fornitore, è un'esposizione della catena di fornitura che affiora ovunque quel codice sia stato riutilizzato. La dipendenza che non sa nominare è quella che non può correggere.
La correzione è una riga di configurazione, e nessun CVE la avviserà
Finché non esce una versione corretta, la mitigazione è operativa, non un download. Può impostare SETTINGS_QPACK_MAX_TABLE_CAPACITY a 0, cosa che disattiva la tabella dinamica di QPACK e rimuove il percorso vulnerabile, oppure può togliere il supporto a HTTP/3 e tornare a HTTP/2 mentre la correzione viene preparata. Entrambe sono modifiche che un operatore applica oggi alla propria configurazione, non un'attesa del ciclo di patch di un fornitore.
La lezione più ampia riguarda come arriva l'avviso, o come non arriva. Al 10 luglio non c'è alcun CVE per XRING, quindi qualsiasi team che sorvegli solo i canali di CVE o attenda un bollettino del martedì delle patch non vedrà nulla. La mossa sensata è censire dove HTTP/3 e QPACK girano davvero nel suo parco, confermare quale libreria QUIC ci sia sotto, e trattare l'assenza di un CVE come un motivo per agire, non per rilassarsi.
Da leggere ora: Alibaba vieta Claude Code come rischio backdoor | Un difetto di Defender dà il pieno controllo del PC



