| Title | quic-go projectのquic-goにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性 |
|---|---|
| Summary | quic-goはGo言語で実装されたQUICプロトコルの実装です。バージョン0.59.1以前では、攻撃者がQPACKでエンコードされたHEADERSフレームを送信し、大量のユニークなフィールド名や大きな値を持つ大きなトレーラーフィールドセクションにデコードされることにより、quic-goのHTTP/3クライアントおよびサーバー実装で過剰なメモリ割り当てが引き起こされる可能性があります。この実装は対応するhttp.Requestまたはhttp.Responseのためにhttp.Headerを構築しますが、QPACK圧縮されたHEADERSフレームのサイズにのみ制限を設けており、デコード後のフィールドセクションのサイズには制限を設けていません。これによりメモリ枯渇が発生する可能性があります。不正または悪意のあるピアは過剰なメモリ割り当てを引き起こすことでquic-goのHTTP/3サーバーまたはクライアントに対してサービス拒否(DoS)攻撃を実行でき、クラッシュやリソース枯渇を招く恐れがあります。対称的なヘッダー構築のため、サーバーとクライアントの両方に影響を与えます。バージョン0.59.1ではトレーラーのRFC 9114に基づいたデコード後のフィールドセクションサイズの制限が追加されました。QPACKエントリを逐次的にデコードし、各エントリの後にフィールドセクションのサイズをチェックし、制限を超えた場合はストリームを中止します。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 4, 2026, midnight |
| Registration Date | June 8, 2026, 12:31 p.m. |
| Last Update | June 8, 2026, 12:31 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| quic-go project |
| quic-go 0.59.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
June 8, 2026, 12:31 p.m. |
| Summary | quic-go is an implementation of the QUIC protocol in Go. Prior to version 0.59.1, an attacker can cause excessive memory allocation in quic-go's HTTP/3 client and server implementations by sending a QPACK-encoded HEADERS frame that decodes into a large trailer field section with many unique field names and/or large values. The implementation builds an `http.Header` for the corresponding `http.Request` or `http.Response`, while only enforcing limits on the size of the QPACK-compressed HEADERS frame, not on the decoded field section. This can lead to memory exhaustion. This is very similar to CVE-2025-64702. The difference is that this issue uses HTTP trailers, rather than HTTP headers, as the attack vector. A misbehaving or malicious peer can cause a denial-of-service (DoS) attack against quic-go's HTTP/3 servers or clients by triggering excessive memory allocation, potentially leading to crashes or resource exhaustion. This affects both servers and clients due to symmetric header construction. Version 0.59.1 enforces RFC 9114 decoded field section size limits for trailers as well. It incrementally decodes QPACK entries and checks the field section size after each entry, aborting the stream if an entry causes the limit to be exceeded. |
|---|---|
| Publication Date | June 5, 2026, 4:16 a.m. |
| Registration Date | June 6, 2026, 4:09 a.m. |
| Last Update | June 6, 2026, 1:01 a.m. |