摘要:
undertow security update
安全等级: High
公告ID: KylinSec-SA-2024-4193
发布日期: 2024年11月8日
关联CVE: CVE-2021-3690 CVE-2023-5379
使用非阻塞 IO 的 Java Web 服务器
安全修复:
在 Undertow 中发现了一个缺陷。传入的 WebSocket PONG 消息存在缓冲区泄漏,可能导致内存耗尽。这个缺陷允许攻击者造成拒绝服务。这个漏洞最高威胁是可用性。(CVE-2021-3690)
在 Undertow 中发现了一个缺陷。当发送超过 ajp-listener 中 max-header-size 属性的 AJP 请求时,mod_cluster 在 httpd 中将 JBoss EAP 标记为错误状态,导致 JBoss EAP 在未返回 AJP 响应的情况下关闭 TCP 连接。这是因为 mod_proxy_cluster 在从后端发送 AJP 请求后关闭 TCP 连接而未接收到 AJP 响应时,将 JBoss EAP 实例标记为错误工作器,并停止转发。这个问题可能允许恶意用户反复发送超过 max-header-size 的请求,导致拒绝服务(DoS)。(CVE-2023-5379)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2021-3690 | KY3.4-5A | undertow | Fixed |
| CVE-2021-3690 | KY3.5.2 | undertow | Fixed |
| CVE-2021-3690 | KY3.5.3 | undertow | Fixed |
| CVE-2021-3690 | V6 | undertow | Fixed |
| CVE-2023-5379 | KY3.4-5A | undertow | Fixed |
| CVE-2023-5379 | KY3.5.2 | undertow | Fixed |
| CVE-2023-5379 | KY3.5.3 | undertow | Fixed |
| CVE-2023-5379 | V6 | undertow | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| undertow | noarch | 1.4.0-7.kb1.ky3_4 |
| undertow-javadoc | noarch | 1.4.0-7.kb1.ky3_4 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| undertow | noarch | 1.4.0-10.ks6 |
| undertow-javadoc | noarch | 1.4.0-10.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| undertow | noarch | 1.4.0-7.ky3_5 |
| undertow-javadoc | noarch | 1.4.0-7.ky3_5 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| undertow | noarch | 1.4.0-7.ky3_5 |
| undertow-javadoc | noarch | 1.4.0-7.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
