Önemli Güvenlik Açığı: XQUIC Kütüphanesi
XQUIC, Alibaba’nın QUIC ve HTTP/3 kütüphanesi, basit bir hata nedeniyle uzaktan bir istemcinin sunucuyu çökertmesine olanak tanıyor. Bu sorun, sunucunun çökmesine yol açan 260 baytlık yasal trafikle herhangi bir kimlik doğrulama olmadan gerçekleştirilebiliyor.
Saldırı Nasıl Çalışıyor?
FoxIO araştırmacısı Sébastien Féry, bu zafiyeti XRING olarak adlandırarak 8 Temmuz’da açıkladı. Sorun, CVE kodu olmaksızın XQUIC’in v1.9.4 sürümüne kadar olan her sürümünde mevcuttur. Kullanıcıların sunucu üzerinde sorun yaratmadan bu açığı kullanabilmesi için SETTINGS_QPACK_MAX_TABLE_CAPACITY değerini 0’a ayarlayarak QPACK’ın dinamik tablosunu kapatmaları veya HTTP/3 desteğini tamamen kaldırmaları önerilmektedir.
Etkilenen Sistemler
XQUIC, açık kaynaklı bir kütüphane olduğundan, yalnızca Alibaba’nın sunucularında değil, HTTP/3’ü varsayılan QPACK ayarlarıyla sunan diğer sunucularda da risk taşımaktadır. Bu durum, Alibaba’nın Taobao ve Alipay gibi web sitelerinin önünde duran Tengine web sunucusunu da kapsamaktadır.
Çözüm ve Korunma
Zafiyet, HTTP/3’ün başlıkları sıkıştırma yönteminde ortaya çıkmaktadır. XQUIC, bu işlem için bir ring buffer kullanmaktadır. İstemci, tablonun boyutunu artırmak istediğinde, XQUIC içindeki eski verilerin kopyalanması gereken durumlarda hatalı bir değer hesaplamaktadır, bu da bellek aşımına yol açmaktadır.
- Güncel versiyon: XQUIC v1.9.4
- Açık: XRING (Henüz CVE kaydı yok)
- Üreticiler, bu güvenlik açığı hakkında bilgi sahibi olmalıdır.
Sonuç ve Aksiyon
Okuyucular, XQUIC’i ya da bu kütüphaneyi kullanan sistemlerini güncellemeli ve ya yukarıda belirtilen ayarlamaları yaparak QPACK dinamik tablosunu kapatmalı ya da HTTP/3 desteğini kaldırmalıdır. Bu tedbirleri almak, potansiyel saldırıların önüne geçmek açısından kritik öneme sahiptir. Unutulmaması gereken, yasal bir giriş ile, yalnızca bir matematiksel hata ile sunucunun çökebileceğidir.


