Dell Unity: Is Unity getroffen door CVE-2023-45802
Summary: In dit artikel wordt besproken of CVE-2023-45802 van invloed is op Unity.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Details
CVE-2023-45802
BEWERKT
Dit beveiligingslek is gewijzigd sinds het voor het laatst is geanalyseerd door de NATIONAL VULNERABILITY DATABASE (NVD). Het is wachten op verdere analyse, wat kan leiden tot verdere wijzigingen in de verstrekte informatie.
Beschrijving
Toen een HTTP/2-stream opnieuw werd ingesteld (RST-frame) door een client, was er een tijdvenster waarin de geheugenbronnen van de aanvraag niet onmiddellijk werden teruggevorderd. In plaats daarvan is de toewijzing uitgesteld tot afsluiting van de verbinding. Een client kan nieuwe aanvragen en resets verzenden, waardoor de verbinding bezet en open blijft en de geheugenvoetafdruk blijft groeien. Bij afsluiting van de verbinding zijn alle resources teruggewonnen, maar het proces kan daarvoor mogelijk geen geheugen meer hebben. Tijdens het testen van CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) ontdekte de verslaggever dit probleem met hun eigen testclient. Bij "normaal" HTTP/2-gebruik is de kans dat dit probleem zich voordoet klein. Het behouden geheugen zou niet merkbaar worden voordat de verbinding wordt gesloten of een time-out optreedt. Gebruikers wordt aanbevolen om te upgraden naar versie 2.4.58, waarmee het probleem wordt opgelost.
CVE-2023-45802
BEWERKT
Dit beveiligingslek is gewijzigd sinds het voor het laatst is geanalyseerd door de NATIONAL VULNERABILITY DATABASE (NVD). Het is wachten op verdere analyse, wat kan leiden tot verdere wijzigingen in de verstrekte informatie.
Beschrijving
Toen een HTTP/2-stream opnieuw werd ingesteld (RST-frame) door een client, was er een tijdvenster waarin de geheugenbronnen van de aanvraag niet onmiddellijk werden teruggevorderd. In plaats daarvan is de toewijzing uitgesteld tot afsluiting van de verbinding. Een client kan nieuwe aanvragen en resets verzenden, waardoor de verbinding bezet en open blijft en de geheugenvoetafdruk blijft groeien. Bij afsluiting van de verbinding zijn alle resources teruggewonnen, maar het proces kan daarvoor mogelijk geen geheugen meer hebben. Tijdens het testen van CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) ontdekte de verslaggever dit probleem met hun eigen testclient. Bij "normaal" HTTP/2-gebruik is de kans dat dit probleem zich voordoet klein. Het behouden geheugen zou niet merkbaar worden voordat de verbinding wordt gesloten of een time-out optreedt. Gebruikers wordt aanbevolen om te upgraden naar versie 2.4.58, waarmee het probleem wordt opgelost.
Cause
Op Unity is 'mod_http2' niet ingeschakeld in httpd.conf of het configuratiebestand van een andere virtuele host. En de onderstaande opdracht laat zien dat mod_http2 niet wordt gebruikt.
apachectl -M | grep http2Daarom heeft CVE-2023-45802 geen invloed op Unity.
Resolution
CVE-2023-45802 heeft GEEN invloed op Unity.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.