Dell Unity: ¿Unity se ve afectado por CVE-2023-45802?
Summary: En este artículo, se analiza si CVE-2023-45802 afecta a Unity.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Detalles
CVE-2023-45802
MODIFICADO
Esta vulnerabilidad se modificó desde la última vez que la base de datos nacional de vulnerabilidades (NVD) la analizó por última vez. Está esperando más análisis, lo que puede dar lugar a más cambios en la información proporcionada.
Descripción
Cuando un cliente restableció un flujo HTTP/2 (trama de RST), había una ventana de tiempo en la que los recursos de memoria de la solicitud no se recuperaban de inmediato. En su lugar, la desasignación se aplazaba para el cierre de la conexión. Un cliente podría enviar nuevas solicitudes y restablecimientos, lo que mantiene la conexión ocupada y abierta, lo que hace que el espacio físico de la memoria siga creciendo. Cuando se cierra la conexión, se recuperan todos los recursos, pero es posible que el proceso se quede sin memoria antes de eso. Durante las pruebas de CVE-2023-44487 (vulnerabilidad de seguridad de restablecimiento rápido http/2), el informador encontró este problema con su propio cliente de prueba. Durante el uso "normal" de HTTP/2, la probabilidad de experimentar este problema es baja. La memoria guardada no se notará antes de que la conexión se cierre o se agota el tiempo de espera. Se recomienda que los usuarios actualicen a la versión 2.4.58, la cual corrige el problema.
CVE-2023-45802
MODIFICADO
Esta vulnerabilidad se modificó desde la última vez que la base de datos nacional de vulnerabilidades (NVD) la analizó por última vez. Está esperando más análisis, lo que puede dar lugar a más cambios en la información proporcionada.
Descripción
Cuando un cliente restableció un flujo HTTP/2 (trama de RST), había una ventana de tiempo en la que los recursos de memoria de la solicitud no se recuperaban de inmediato. En su lugar, la desasignación se aplazaba para el cierre de la conexión. Un cliente podría enviar nuevas solicitudes y restablecimientos, lo que mantiene la conexión ocupada y abierta, lo que hace que el espacio físico de la memoria siga creciendo. Cuando se cierra la conexión, se recuperan todos los recursos, pero es posible que el proceso se quede sin memoria antes de eso. Durante las pruebas de CVE-2023-44487 (vulnerabilidad de seguridad de restablecimiento rápido http/2), el informador encontró este problema con su propio cliente de prueba. Durante el uso "normal" de HTTP/2, la probabilidad de experimentar este problema es baja. La memoria guardada no se notará antes de que la conexión se cierre o se agota el tiempo de espera. Se recomienda que los usuarios actualicen a la versión 2.4.58, la cual corrige el problema.
Cause
En Unity, "mod_http2" no está habilitado en httpd.conf ni en ningún otro archivo de configuración de host virtual. Y el siguiente comando muestra que no se está utilizando mod_http2.
apachectl -M | grep http2Por lo tanto, CVE-2023-45802 NO afecta a Unity.
Resolution
CVE-2023-45802 NO afecta a Unity.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.