从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:assertion failure when HTTP/3 requests are cancelled - 发布者:kazuho - 漏洞编号:GHSA-4xp5-3jhc-3m92 - 发布时间:11小时前 2. 漏洞影响: - 受影响的版本:commit between 16b13ee and 15ed15a - 已修复的版本:commit 1ed32b2 and above 3. 漏洞严重性: - 严重性等级:Low - CVSS v3 base metrics: - Attack vector:Network - Attack complexity:High - Privileges required:None - User interaction:None - Scope:Unchanged - Confidentiality:None - Integrity:None - Availability:Low 4. 漏洞描述: - 当h2o配置为反向代理并由客户端取消HTTP/3请求时,h2o可能会因断言失败而崩溃。 - 攻击者可以通过利用此漏洞发起拒绝服务攻击。 - 默认情况下,h2o独立服务器会自动重启,减少影响。然而,同时服务的HTTP请求仍然会受到影响。 5. 修复措施: - 已在commit 1ed32b2中修复。 - 使用h2o作为反向代理的用户应升级到commit 95e8e17或更高版本。 6. 工作绕过: - 作为替代修复h2o的方法,用户可以禁用HTTP/3以缓解问题。 - 要禁用HTTP/3,请删除或注释出使用quic类型的listen directives。 7. 漏洞编号: - CVE-2024-45403 8. 弱点: - 没有CWEs(Common Weakness Enumeration)记录。