GHSA-xh5m-8qqp-c5x7

Опубликовано: 10 окт. 2023

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Remote Denial of Service Vulnerability in Microsoft.Native.Quic.MsQuic.Schannel

Impact

The MsQuic server application or process will crash, resulting in a denial of service.

Patches

The following patch was made:

Don't Allow Version Negotiation Packets for Server Connections - https://github.com/microsoft/msquic/commit/3226cff07d22662f16fc98d605656860e64cd343

Workarounds

Beyond upgrading to the patched versions, there is no other workaround. You must upgrade or disable MsQuic functionality.

Ссылки

Пакеты

Наименование

Microsoft.Native.Quic.MsQuic.Schannel

nuget

Затронутые версииВерсия исправления

< 2.2.3

2.2.3

Наименование

Microsoft.Native.Quic.MsQuic.OpenSSL

nuget

Затронутые версииВерсия исправления

< 2.2.3

2.2.3

EPSS

Процентиль: 89%

0.05105

Низкий

7.5 High

CVSS3

CVE ID

CVE-2023-38171

Дефекты

CWE-400

CWE-476

Связанные уязвимости

CVE-2023-38171

CVSS3: 7.5

redhat

больше 1 года назад

Microsoft QUIC Denial of Service Vulnerability

CVE-2023-38171

CVSS3: 7.5

nvd

больше 1 года назад

Microsoft QUIC Denial of Service Vulnerability

CVE-2023-38171

CVSS3: 7.5

msrc

больше 1 года назад

Microsoft QUIC Denial of Service Vulnerability

BDU:2023-06839

CVSS3: 7.5

fstec

больше 1 года назад

Уязвимость реализации сетевого протокола QUIC операционной системы Windows, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 89%

0.05105

Низкий

7.5 High

CVSS3

CVE ID

CVE-2023-38171

Дефекты

CWE-400

CWE-476