Dell Unity: Czy unity jest zagrożone przez CVE-2023-45802
Summary: W tym artykule opisano, czy CVE-2023-45802 wpływa na Unity.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Szczegóły
CVE-2023-45802
ZMODYFIKOWANO
Luka w zabezpieczeniach została zmodyfikowana od czasu jej ostatniej analizy przez bazę danych NATIONAL VULNERABILITY DATABASE (NVD). Oczekuje na dalszą analizę, która może spowodować dalsze zmiany podanych informacji.
Opis
Gdy strumień HTTP/2 został zresetowany przez klienta (ramka RST), istniało okno czasowe, w którym zasoby pamięci żądania nie zostały natychmiast odzyskane. Zamiast tego dezlokowanie zostało odłożony na zamknięcie połączenia. Klient może wysyłać nowe żądania i resetować, utrzymując zajęty i otwarty dostęp do połączenia, powodując wzrost ilości pamięci. Po zamknięciu połączenia wszystkie zasoby zostały odzyskane, ale w tym procesie może zabraknąć pamięci. Podczas testowania CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) właściciel znalazł ten problem z własnym klientem testowym. Podczas "normalnego" użycia PROTOKOŁU HTTP/2 prawdopodobieństwo wystąpienia tego problemu jest niskie. Pamięć zachowana nie będzie zauważalna przed zamknięciem lub upływem limitu czasu połączenia. Użytkownikom zaleca się uaktualnienie do wersji 2.4.58, co rozwiązuje problem.
CVE-2023-45802
ZMODYFIKOWANO
Luka w zabezpieczeniach została zmodyfikowana od czasu jej ostatniej analizy przez bazę danych NATIONAL VULNERABILITY DATABASE (NVD). Oczekuje na dalszą analizę, która może spowodować dalsze zmiany podanych informacji.
Opis
Gdy strumień HTTP/2 został zresetowany przez klienta (ramka RST), istniało okno czasowe, w którym zasoby pamięci żądania nie zostały natychmiast odzyskane. Zamiast tego dezlokowanie zostało odłożony na zamknięcie połączenia. Klient może wysyłać nowe żądania i resetować, utrzymując zajęty i otwarty dostęp do połączenia, powodując wzrost ilości pamięci. Po zamknięciu połączenia wszystkie zasoby zostały odzyskane, ale w tym procesie może zabraknąć pamięci. Podczas testowania CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) właściciel znalazł ten problem z własnym klientem testowym. Podczas "normalnego" użycia PROTOKOŁU HTTP/2 prawdopodobieństwo wystąpienia tego problemu jest niskie. Pamięć zachowana nie będzie zauważalna przed zamknięciem lub upływem limitu czasu połączenia. Użytkownikom zaleca się uaktualnienie do wersji 2.4.58, co rozwiązuje problem.
Cause
W unity opcja "mod_http2" nie jest włączona w pliku konfiguracyjnym httpd.conf ani w żadnym innym pliku konfiguracyjnym hosta wirtualnego. Poniższe polecenie pokazuje, że mod_http2 nie jest używany.
apachectl -M | grep http2Dlatego CVE-2023-45802 NIE wpływa na Unity.
Resolution
CVE-2023-45802 NIE wpływa na Unity.
Affected Products
Dell EMC UnityProducts
Dell Unity 450F DC, Dell Unity 300, Dell Unity 300 DC, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell Unity 350F DC, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell Unity 400 DC, Dell EMC Unity 400F, Dell EMC Unity 450F
, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500, Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid, Dell Unity Operating Environment (OE), Dell EMC UnityVSA Professional Edition/Unity Cloud Edition
...
Article Properties
Article Number: 000220765
Article Type: Solution
Last Modified: 12 Jan 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.