CRITICAL🇬🇧 English

CVE-2024-22590

Brak śledzenia stanu połączenia TLS w bibliotece Kwik — nadpisanie Client Hello

CVSS 9.1v3.1pub. 2024-05-28upd. 2026-04-15

Podatność w silniku TLS biblioteki Kwik (commit 745fd4e2) polega na braku śledzenia bieżącego stanu połączenia. Umożliwia to atakującemu nadpisanie wiadomości Client Hello w dowolnym momencie, nawet po nawiązaniu połączenia, co zagraża integralności i dostępności sesji.

Pokaż oryginał (EN)

The TLS engine in Kwik commit 745fd4e2 does not track the current state of the connection. This vulnerability can allow Client Hello messages to be overwritten at any time, including after a connection has been established.

🤖 Analiza AI
Jak działa

Silnik TLS w Kwik nie implementuje mechanizmu śledzenia aktualnego stanu połączenia (CWE-372 — brak pełnej implementacji automatu stanów). Brak tej kontroli powoduje, że komunikat Client Hello — normalnie wysyłany tylko na początku uzgadniania (handshake) — może zostać nadpisany przez atakującego w dowolnym momencie życia połączenia, również po jego pełnym ustanowieniu. Atakujący zdalny, nieuwierzytelniony, może wysłać spreparowany komunikat Client Hello do już aktywnej sesji i spowodować jej zakłócenie lub przejęcie kontroli nad procesem negocjacji TLS.

Skutki

Atakujący może zakłócić lub zniszczyć integralność aktywnych połączeń TLS oraz spowodować ich niedostępność (naruszenie integralności i dostępności). Atak nie wymaga uwierzytelnienia ani interakcji użytkownika i jest możliwy zdalnie przez sieć.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację biblioteki Kwik do wersji po commicie 745fd4e2, w której poprawiono obsługę automatu stanów TLS. Do czasu zastosowania poprawki należy rozważyć ograniczenie dostępu sieciowego do usług korzystających z podatnej wersji biblioteki.

Kogo dotyczy

Biblioteka Kwik w wersji odpowiadającej commitowi 745fd4e2; dokładny zakres wersji wskazany w referencjach producenta.

Uwagi

Podatność zgłoszona przez badacza posługującego się pseudonimem QUICTester, co wynika z adresu referencji (gist.github.com/QUICTester). Podatność dotyczy implementacji protokołu QUIC/TLS w bibliotece Kwik.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje