摘要:
mosquitto security update
安全等级: High
公告ID: KylinSec-SA-2023-2296
发布日期: 2023年10月28日
关联CVE: CVE-2023-3592 CVE-2023-5632
Mosquitto是一个开源的消息代理,实现了MQ Telemetry Transport协议版本3.1和3.1.1。MQTT提供了一种使用发布/订阅模型进行消息传递的轻量级方法。这使得它非常适合“机器对机器”的消息传递,例如与低功耗传感器或移动电话、嵌入式计算机或Arduino等微控制器配合使用。
安全修复:
在Mosquitto 2.0.16之前的版本中,当客户端发送包含无效属性类型的v5 CONNECT数据包时,会发生内存泄漏。
(CVE-2023-3592)
在Eclipse Mosquitto 2.0.5及更早版本中,建立到mosquitto服务器的连接而不发送数据会导致添加EPOLLOUT事件,从而导致CPU消耗过高。恶意行为者可以利用这一点执行拒绝服务类型的攻击。此问题在2.0.6版本中已修复。
(CVE-2023-5632)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-5632 | KY3.4-4A | mosquitto | Unaffected |
| CVE-2023-5632 | KY3.4-5A | mosquitto | Unaffected |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
