QUIC-LEAK漏洞警报:LSQUIC实现存在内存耗尽缺陷 可致服务器拒绝服务
LSQUIC的QUIC协议实现中发现一个关键握手前漏洞,远程攻击者可通过内存耗尽攻击使服务器崩溃。该漏洞被命名为”CVE-2025-54939″(QUIC-LEAK),影响全球第二大QUIC实现方案,可能波及超过34%启用HTTP/3的网站(基于LiteSpeed技术栈)。
核心发现:
-
CVE-2025-54939允许通过内存耗尽实施远程拒绝服务攻击
-
影响14%使用LSQUIC/LiteSpeed技术的网站
-
建议立即升级修复
据Imperva报告,QUIC-LEAK利用了LSQUIC在处理UDP数据报中聚合数据包的根本缺陷——该漏洞存在于连接握手建立之前。当攻击者构造包含多个QUIC初始数据包的恶意UDP数据报时(仅首个数据包包含有效目标连接ID,后续数据包使用无效DCID),就会触发此漏洞。
在lsquic_engine.c的漏洞代码路径中,实现方案能正确识别并忽略DCID不匹配的数据包,将其大小计入垃圾数据计数以防范放大攻击。然而,关键缺陷在于未能通过lsquic_mm_put_packet_in函数正确释放packet_in结构,导致持续内存泄漏。
每个泄漏的packet_in结构约占用96字节内存,而UDP数据报最多可携带10个聚合数据包,攻击者能以约70%的带宽速率持续消耗服务器内存。该攻击绕过了所有标准QUIC连接级防护措施——包括连接数限制、流控制和流量调控——因为这些保护机制仅在握手完成后激活。
缓解措施
该漏洞CVSS 3.1基础评分为7.5分,研究人员指出其可用性影响应归类为”高危”,因为可能导致服务完全中断。全球占比超过14%的LiteSpeed服务器尤其脆弱,因其直接集成了受影响的LSQUIC库。
在采用512 MiB内存配置的受控测试中,研究人员证实:当内存使用率达到100%时,攻击可使OpenLiteSpeed服务器完全瘫痪。该攻击的有效性源于其无状态特性——无需建立有效QUIC会话或时间依赖。
立即缓解措施需升级至LSQUIC 4.3.1或更高版本(包含于OpenLiteSpeed 1.8.4和LiteSpeed Web Server 6.3.4)。无法立即升级的组织应实施网络层UDP流量过滤,对暴露服务执行严格内存使用限制,并持续监控针对QUIC端点的异常流量模式。
发表评论
您还未登录,请先登录。
登录