Lỗ hổng XRING trong XQUIC: Nguy cơ đánh sập máy chủ HTTP/3 từ xa
Một lỗ hổng chưa được vá trong thư viện XQUIC của Alibaba cho phép kẻ tấn công làm sập máy chủ HTTP/3 chỉ với một lượng nhỏ lưu lượng truy cập hợp lệ.
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong XQUIC, thư viện mã nguồn mở hỗ trợ giao thức QUIC và HTTP/3 của Alibaba. Lỗ hổng này, được đặt tên là XRING, cho phép bất kỳ client từ xa nào cũng có thể làm sập (crash) máy chủ chỉ bằng cách gửi một chuỗi lưu lượng truy cập hoàn toàn hợp lệ.
Table Of Content
Chi tiết về lỗ hổng XRING
Theo nhà nghiên cứu Sébastien Féry từ FoxIO, XRING không yêu cầu quyền truy cập hay các gói tin bị lỗi (malformed packets). Chỉ cần khoảng 260 byte lưu lượng QPACK thông thường là đủ để khiến tiến trình máy chủ bị ngắt quãng. Vấn đề nằm ở cách XQUIC xử lý việc nén header thông qua QPACK. Cụ thể, khi client yêu cầu thay đổi kích thước bảng nén, XQUIC thực hiện cấp phát bộ nhớ mới và sao chép dữ liệu cũ. Trong quá trình này, một lỗi tính toán sai kích thước dữ liệu dẫn đến tình trạng integer underflow, khiến việc sao chép bộ nhớ vượt quá giới hạn cho phép (out-of-bounds write).
Rủi ro đối với hệ thống
Vì XQUIC là mã nguồn mở, bất kỳ máy chủ nào tích hợp thư viện này và sử dụng cài đặt QPACK mặc định đều có nguy cơ bị tấn công. Điều này bao gồm cả Tengine, máy chủ web dựa trên Nginx của Alibaba, vốn đang được sử dụng cho các nền tảng lớn như Taobao và Alipay. Các phiên bản XQUIC từ trước đến nay, bao gồm cả bản mới nhất v1.9.4, đều bị ảnh hưởng.
Khuyến nghị tạm thời
Tính đến thời điểm hiện tại, chưa có bản vá chính thức hay mã CVE nào được công bố. Để giảm thiểu rủi ro, các quản trị viên hệ thống được khuyến cáo thực hiện một trong các biện pháp sau:
- Thiết lập
SETTINGS_QPACK_MAX_TABLE_CAPACITYvề 0 để vô hiệu hóa bảng động (dynamic table) của QPACK. - Tạm thời ngắt kết nối hoặc vô hiệu hóa hỗ trợ HTTP/3 trên máy chủ nếu cần thiết.
Đội ngũ nghiên cứu của FoxIO cho biết họ đã cố gắng liên hệ với Alibaba từ tháng 4 năm 2026 nhưng không nhận được phản hồi, buộc họ phải công khai lỗ hổng để cảnh báo cộng đồng. Hiện tại, chưa có bằng chứng về việc lỗ hổng này bị khai thác trong thực tế, nhưng các chuyên gia khuyến cáo người dùng cần theo dõi sát sao các bản cập nhật từ nhà phát triển.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.