支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-61684 基础信息
漏洞信息
                                        # Quicly 断言失败漏洞

## 概述
Quicly 是一个 IETF QUIC 协议实现,在提交 d9d3df6a8530a102b57d840e39b0311ce5c9e14e 之前存在拒绝服务漏洞。

## 影响版本
提交 d9d3df6a8530a102b57d840e39b0311ce5c9e14e 之前的所有版本。

## 细节
远程攻击者可利用该漏洞触发断言失败,导致使用 Quicly 的进程崩溃。

## 影响
导致拒绝服务(DoS),进程异常终止。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Quicly has assertion failures
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Quicly, an IETF QUIC protocol implementation, is susceptible to a denial-of-service attack prior to commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e. A remote attacker can exploit these bugs to trigger an assertion failure that crashes process using Quicly. Commit d9d3df6a8530a102b57d840e39b0311ce5c9e14e fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-61684 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-61684 的情报信息

  • 标题: assertion failures · Advisory · h2o/quicly · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            以下是根据截图整理的关于漏洞的关键信息,使用简洁的Markdown格式呈现:

### 漏洞概述

- **Package**: quickly
- **CVE ID**: CVE-2025-61684
- **GHSA**: GHSA-wr3c-345m-43v9
- **Severity**: High (7.5/10)

### 影响

- **Affected versions**: commits up to 5d08216
- **Description**: 远程攻击者可通过触发断言失败导致quickly崩溃,进而造成拒绝服务攻击。
- **Impact**: 由于快速处理无效QUIC帧时的bug,攻击者可以触发断言失败,导致进程崩溃,同时影响其他 innocent 连接。

### 补丁信息

- **Patched versions**: commits d9d3df6 and above

### CVSS v3 基础指标

- **Attack vector**: Network
- **Attack complexity**: Low
- **Privileges required**: None
- **User interaction**: None
- **Scope**: Unchanged
- **Confidentiality**: None
- **Integrity**: None
- **Availability**: High

### 致谢

- Isa Jafarov (City University of New York)
- Choongin Lee (Korea University)
- Prof. Heejo Lee (Korea University)
- Prof. Sven Dietrich (City University of New York)
    assertion failures · Advisory · h2o/quicly · GitHub

  • 标题: adjust expected results changed due to when gaps are injected · h2o/quicly@d9d3df6 · GitHub -- 🔗来源链接

    标签:x_refsource_MISC

    神龙速读:
                                            ### 关键信息

#### 漏洞相关变更

这段代码是关于调整由于注入间隙而导致的预期结果的变化。

- **文件**: `t/lossy.c`
- **函数**: `test_downstream` 和 `test_bidirectional`
- **变更原因**: 由于间隙注入导致预期结果需调整。

#### 主要变更点

- 在 `test_downstream` 中:
  - `loss_check_stats` 从 `(3, 16210, 3610, 17579)` 变为 `(3, 9658, 3610, 17579)`
  - `loss_check_stats` 从 `(0, 1496, 608, 2779)` 变为 `(0, 1343, 608, 2779)`

- 在 `test_bidirectional` 中:
  - `loss_check_stats` 从 `(17, 240012.7, 104496, 652328)` 变为 `(22, 240012.7, 95290, 652328)`
  - `loss_check_stats` 从 `(0, 3908, 1175, 7459)` 变为 `(0, 4153, 1175, 7725)`

#### 总结
这些调整表明,在间隙注入的情况下,测试预期结果需要修正,以匹配实际的性能数据或行为。这种修正可能是为了修正潜在的测试错误或者是对系统行为的更精准模拟。
    adjust expected results changed due to when gaps are injected · h2o/quicly@d9d3df6 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-61684
四、漏洞 CVE-2025-61684 的评论

暂无评论

发表评论