Dell Unity: Vaikuttaako CVE-2023-45802 Unityen
Summary: Artikkelissa käsitellään sitä, vaikuttaako CVE-2023-45802 Unityen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Tiedot
CVE-2023-45802
MUUTETTU
Haavoittuvuutta on muutettu sen jälkeen, kun NVD (NATIONAL VULNERABILITY DATABASE) viimeksi analysoi sen. Se odottaa lisäanalyysia, joka voi aiheuttaa lisää muutoksia annettuihin tietoihin.
Kuvaus
Kun ohjelma nollasi HTTP/2-virran (RST-kehyksen), aikaikkunassa pyynnön muistiresursseja ei otettu heti uudelleen käyttöön. Sen sijaan varauksen poistoa lykättiin yhteyden sulkemiseksi. Asiakas voi lähettää uusia pyyntöjä ja nollauksia, pitää yhteyden varattuna ja avoimena, jolloin muistin jalanjälki kasvaa jatkuvasti. Kun yhteys on sulkeutunut, kaikki resurssit on otettu uudelleen käyttöön, mutta muisti saattaa olla lopussa ennen sitä. CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) -testin aikana toimittaja havaitsi tämän ongelman omassa testiohjelmassaan. Ongelman todennäköisyys on pieni "normaalin" HTTP/2-käytön aikana. Säilyttävä muisti ei näy ennen yhteyden katkeamista tai aikakatkaisua. Käyttäjien suositellaan päivittämään versioon 2.4.58, joka korjaa ongelman.
CVE-2023-45802
MUUTETTU
Haavoittuvuutta on muutettu sen jälkeen, kun NVD (NATIONAL VULNERABILITY DATABASE) viimeksi analysoi sen. Se odottaa lisäanalyysia, joka voi aiheuttaa lisää muutoksia annettuihin tietoihin.
Kuvaus
Kun ohjelma nollasi HTTP/2-virran (RST-kehyksen), aikaikkunassa pyynnön muistiresursseja ei otettu heti uudelleen käyttöön. Sen sijaan varauksen poistoa lykättiin yhteyden sulkemiseksi. Asiakas voi lähettää uusia pyyntöjä ja nollauksia, pitää yhteyden varattuna ja avoimena, jolloin muistin jalanjälki kasvaa jatkuvasti. Kun yhteys on sulkeutunut, kaikki resurssit on otettu uudelleen käyttöön, mutta muisti saattaa olla lopussa ennen sitä. CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) -testin aikana toimittaja havaitsi tämän ongelman omassa testiohjelmassaan. Ongelman todennäköisyys on pieni "normaalin" HTTP/2-käytön aikana. Säilyttävä muisti ei näy ennen yhteyden katkeamista tai aikakatkaisua. Käyttäjien suositellaan päivittämään versioon 2.4.58, joka korjaa ongelman.
Cause
Unityn mod_http2 ei ole käytössä httpd.conf-tiedostossa eikä minkään muun virtuaaliisännän kokoonpanotiedostossa. Seuraava komento osoittaa, että mod_http2 ei ole käytössä.
apachectl -M | grep http2Siksi CVE-2023-45802 EI vaikuta Unityen.
Resolution
CVE-2023-45802 EI vaikuta Unityen.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.