Wat 260 bytes werkelijk doen

Het lek, op 8 juli onthuld door FoxIO-onderzoeker Sebastien Fery en XRING gedoopt, zit in QPACK, het schema voor headercompressie waarop HTTP/3 leunt. Geen enkele waarde in de aanval breekt de regels van QPACK. XQUIC adverteert standaard een dynamische tabellimiet van 16 KiB; de payload vraagt 64 bytes, dan 65, en drijft de tabel naar precies de omgeslagen geheugenindeling die een foutieve tak raakt. Het serverproces valt om. Geen inloggegevens, geen te grote pakketten, niets wat een firewall als misvormd markeert.

Juist dat maakt het gevaarlijk. De meeste filtering tegen dienstblokkades zoekt naar volume of duidelijk slechte invoer, en XRING is geen van beide. Het is een klein, welgevormd verzoek dat een normale client per ongeluk zou kunnen sturen, en het richt zijn schade aan in het ontleedpad voordat enige applicatielogica draait. Elke XQUIC-versie tot en met v1.9.4, de huidige, is getroffen, en er is geen gecorrigeerde versie om naar te upgraden.

Waarom u het zonder het te weten kunt draaien

XQUIC is de open-source QUIC- en HTTP/3-bibliotheek van Alibaba, dus het risico ligt niet alleen bij Alibaba. Ze zit ingebed in Tengine, de op Nginx gebaseerde webserver van het bedrijf, die volgens FoxIO de cloud en het content-deliverynetwerk van Alibaba bedient op eigendommen als Taobao en Alipay. Elke operator die XQUIC in de eigen stack heeft gehaald, of een product draait dat de bibliotheek verderop meelevert, erft dezelfde zwakte, of hij de afhankelijkheid nu kent of niet.

Dit is het ongemakkelijke deel voor iedereen die moderne webinfrastructuur draait. HTTP/3 is stil gegroeid via CDN's en loadbalancers, en de bibliotheken eronder worden gedeeld. Een lek in een breed ingebedde QUIC-implementatie is niet het probleem van een enkele leverancier, maar een blootstelling van de toeleveringsketen die opduikt overal waar die code is hergebruikt. De afhankelijkheid die u niet kunt benoemen is degene die u niet kunt patchen.

De oplossing is een configuratieregel, en geen CVE waarschuwt u

Totdat een gecorrigeerde versie verschijnt, is de mitigatie operationeel, geen download. U kunt SETTINGS_QPACK_MAX_TABLE_CAPACITY op 0 zetten, wat QPACK's dynamische tabel uitschakelt en het kwetsbare pad verwijdert, of u kunt HTTP/3-ondersteuning laten vallen en terugvallen op HTTP/2 terwijl de oplossing wordt voorbereid. Beide zijn wijzigingen die een operator vandaag in de eigen configuratie doorvoert, geen wachten op de patchcyclus van een leverancier.

De bredere les gaat over hoe de waarschuwing aankomt, of niet aankomt. Op 10 juli is er geen CVE voor XRING, dus elk team dat alleen CVE-feeds volgt of op een patch-dinsdagbulletin wacht, ziet niets. De verdedigbare zet is te inventariseren waar HTTP/3 en QPACK echt draaien in uw omgeving, te bevestigen welke QUIC-bibliotheek eronder zit, en nog geen CVE te behandelen als reden om te handelen, niet als reden om te ontspannen.