• CVE-2024-24791

发布时间: 2024年8月9日

修改时间: 2025年4月25日

概要

The net/http HTTP/1.1 client mishandled the case where a server responds to a request with an "Expect: 100-continue" header with a non-informational (200 or higher) status. This mishandling could leave a client connection in an invalid state, where the next request sent on the connection will fail. An attacker sending a request to a net/http/httputil.ReverseProxy proxy can exploit this mishandling to cause a denial of service by sending "Expect: 100-continue" requests which elicit a non-informational response from the backend. Each such request leaves the proxy with an invalid connection, and causes one subsequent request using that connection to fail.

CVSS v3 指标

NVD openEuler
Confidentiality None
Attack Vector Network
CVSS评分 N/A 7.5
Attack Complexity Low
Privileges Required None
Scope Unchanged
Integrity None
User Interaction None
Availability High

安全公告

公告名 概要 发布时间
KylinSec-SA-2024-3558 golang security update 2024年8月16日
KylinSec-SA-2024-3680 golang security update 2024年8月16日
KylinSec-SA-2024-4825 golang security update 2025年2月17日
KylinSec-SA-2025-1138 podman security update 2025年2月28日
KylinSec-SA-2025-1252 buildah security update 2025年3月6日
KylinSec-SA-2025-1601 etcd security update 2025年3月13日
KylinSec-SA-2025-1606 podman security update 2025年3月18日
KylinSec-SA-2025-2522 etcd security update 2025年6月23日

影响产品

产品 状态
KY3.4-5 golang Fixed
KY3.5.2 golang Fixed
KY3.5.3 golang Fixed
V6 golang Fixed