Dell Unity: Er Unity påvirket af CVE-2023-45802
Summary: Denne artikel beskriver, om CVE-2023-45802 påvirker Unity.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Detaljer
CVE-2023-45802
ÆNDRET
Denne sårbarhed er blevet ændret, siden den sidst blev analyseret af NATIONAL VULNERABILITY DATABASE (NVD). Den afventer yderligere analyse, som kan resultere i yderligere ændringer af de leverede oplysninger.
Beskrivelse
Da en HTTP/2-stream blev nulstillet (RST-ramme) af en klient, var der et tidspunkt, hvor anmodningens hukommelsesressourcer ikke blev genoprettet med det samme. I stedet blev afallokeringen udskudt til at lukke forbindelsen. En klient kan sende nye anmodninger og nulstillinger, holde forbindelsen optaget og åben og få hukommelsesaftryk til at fortsætte med at vokse. Ved tæt forbindelse blev alle ressourcer regenereret, men processen kan løbe tør for hukommelse før dette. Under test af CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) fandt reporteren dette problem med deres egen testklient. Under "normal" HTTP/2-brug er sandsynligheden for at opleve dette problem lav. Den opbevarede hukommelse vil ikke blive mærkbar, før forbindelsen lukker eller får timeout. Brugere anbefales at opgradere til version 2.4.58, som løser problemet.
CVE-2023-45802
ÆNDRET
Denne sårbarhed er blevet ændret, siden den sidst blev analyseret af NATIONAL VULNERABILITY DATABASE (NVD). Den afventer yderligere analyse, som kan resultere i yderligere ændringer af de leverede oplysninger.
Beskrivelse
Da en HTTP/2-stream blev nulstillet (RST-ramme) af en klient, var der et tidspunkt, hvor anmodningens hukommelsesressourcer ikke blev genoprettet med det samme. I stedet blev afallokeringen udskudt til at lukke forbindelsen. En klient kan sende nye anmodninger og nulstillinger, holde forbindelsen optaget og åben og få hukommelsesaftryk til at fortsætte med at vokse. Ved tæt forbindelse blev alle ressourcer regenereret, men processen kan løbe tør for hukommelse før dette. Under test af CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) fandt reporteren dette problem med deres egen testklient. Under "normal" HTTP/2-brug er sandsynligheden for at opleve dette problem lav. Den opbevarede hukommelse vil ikke blive mærkbar, før forbindelsen lukker eller får timeout. Brugere anbefales at opgradere til version 2.4.58, som løser problemet.
Cause
På Unity er "mod_http2" ikke aktiveret i httpd.conf eller andre virtuelle værters konfigurationsfil. Og nedenstående kommando viser, at mod_http2 ikke anvendes.
apachectl -M | grep http2Derfor påvirker CVE-2023-45802 IKKE Unity.
Resolution
CVE-2023-45802 påvirker IKKE Unity.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.