Dell Unity : Unity est-il affecté par CVE-2023-45802 ?
Summary: Cet article explique si CVE-2023-45802 affecte Unity.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Détails
CVE-2023-45802
MODIFIÉ
Cette vulnérabilité a été modifiée depuis sa dernière analyse par la BASE DE DONNÉES NATIONALE DES VULNÉRABILITÉS (NVD). Il est en attente d’une analyse plus approfondie, ce qui peut entraîner d’autres modifications des informations fournies.
Description
Lorsqu’un flux HTTP/2 était réinitialisé (trame RST) par un client, les ressources de mémoire de la demande n’étaient pas récupérées immédiatement. Au lieu de cela, la désallocation a été différée à la fermeture de la connexion. Un client peut envoyer de nouvelles demandes et réinitialisations, ce qui maintient la connexion occupée et ouverte, ce qui entraîne une croissance constante de l’encombrement de la mémoire. Lors de la fermeture de la connexion, toutes les ressources ont été récupérées, mais le processus peut manquer de mémoire avant. Lors du test de CVE-2023-44487 (HTTP/2 Rapid Reset Exploit), le rapporteur a constaté ce problème avec son propre client de test. Lors d’une utilisation HTTP/2 « normale », la probabilité de rencontrer ce problème est faible. La mémoire conservée ne devient pas visible avant la fermeture ou l’expiration de la connexion. Il est recommandé aux utilisateurs d’effectuer une mise à niveau vers la version 2.4.58, ce qui résout le problème.
CVE-2023-45802
MODIFIÉ
Cette vulnérabilité a été modifiée depuis sa dernière analyse par la BASE DE DONNÉES NATIONALE DES VULNÉRABILITÉS (NVD). Il est en attente d’une analyse plus approfondie, ce qui peut entraîner d’autres modifications des informations fournies.
Description
Lorsqu’un flux HTTP/2 était réinitialisé (trame RST) par un client, les ressources de mémoire de la demande n’étaient pas récupérées immédiatement. Au lieu de cela, la désallocation a été différée à la fermeture de la connexion. Un client peut envoyer de nouvelles demandes et réinitialisations, ce qui maintient la connexion occupée et ouverte, ce qui entraîne une croissance constante de l’encombrement de la mémoire. Lors de la fermeture de la connexion, toutes les ressources ont été récupérées, mais le processus peut manquer de mémoire avant. Lors du test de CVE-2023-44487 (HTTP/2 Rapid Reset Exploit), le rapporteur a constaté ce problème avec son propre client de test. Lors d’une utilisation HTTP/2 « normale », la probabilité de rencontrer ce problème est faible. La mémoire conservée ne devient pas visible avant la fermeture ou l’expiration de la connexion. Il est recommandé aux utilisateurs d’effectuer une mise à niveau vers la version 2.4.58, ce qui résout le problème.
Cause
Sur Unity, « mod_http2 » n’est pas activé dans httpd.conf ou dans tout autre fichier de configuration de l’hôte virtuel. La commande ci-dessous indique que mod_http2 n’est pas utilisé.
apachectl -M | grep http2Par conséquent, CVE-2023-45802 n’a PAS d’impact sur Unity.
Resolution
CVE-2023-45802 n’a PAS d’impact sur Unity.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.