摘要:
cri-tools security update
安全等级: High
公告ID: KylinSec-SA-2024-1532
发布日期: 2024年4月12日
容器运行时接口的命令行界面(CLI)和验证工具
安全修复:
一个恶意构造的HTTP/2流可能会导致HPACK解码器消耗过多的CPU资源,从而通过少量的小请求造成拒绝服务攻击。(CVE-2022-41723)
一个恶意的HTTP/2客户端可以快速创建请求并立即重置它们,从而导致服务器资源消耗过大。尽管请求的总数受到http2.Server.MaxConcurrentStreams设置的限制,但重置一个正在进行的请求允许攻击者在现有请求仍在执行时创建新的请求。在应用了修复之后,HTTP/2服务器现在将同时执行的处理器协程(goroutine)的数量限制为流并发限制(MaxConcurrentStreams)。当达到限制时到达的新请求(这只能在客户端重置了一个正在进行的请求后发生)将被排队,直到一个处理器退出。如果请求队列变得过大,服务器将终止连接。此问题也在golang.org/x/net/http2中得到了修复,适用于手动配置HTTP/2的用户。默认的流并发限制是每个HTTP/2连接250个流(请求)。可以使用golang.org/x/net/http2包调整此值;请参阅Server.MaxConcurrentStreams设置和ConfigureServer函数。(CVE-2023-39325)
当将某些形式的无效JSON反序列化为包含google.protobuf.Any值的消息或当设置了UnmarshalOptions.DiscardUnknown选项时,protojson.Unmarshal函数可能会进入无限循环。(CVE-2024-24786)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-24786 | KY3.4-4A | cri-tools | Unaffected |
| CVE-2024-24786 | KY3.4-5A | cri-tools | Unaffected |
| CVE-2024-24786 | KY3.5.1 | cri-tools | Unaffected |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
