摘要:
etcd security update
安全等级: High
公告ID: KylinSec-SA-2025-2513
发布日期: 2025年6月14日
关联CVE: CVE-2023-44487 CVE-2023-39325
安全修复项:
恶意HTTP/2客户端可通过快速创建请求并立即重置请求导致服务器资源过度消耗。虽然请求总数受限于http2.Server.MaxConcurrentStreams设置,但重置进行中的请求可使攻击者在现有请求仍在执行时创建新请求。应用修复后,HTTP/2服务器现在将同时执行的处理程序goroutine数量限制为流并发上限(MaxConcurrentStreams)。当达到上限时到达的新请求(仅当客户端重置了现有传输中请求后才会发生)将被排队,直到有处理程序退出。若请求队列增长过大,服务器将终止连接。该问题也在golang.org/x/net/http2中修复,适用于手动配置HTTP/2的用户。默认流并发限制为每个HTTP/2连接250个流(请求)。可通过golang.org/x/net/http2包调整该值;参阅Server.MaxConcurrentStreams设置及ConfigureServer函数。(CVE-2023-39325)
HTTP/2协议存在拒绝服务漏洞(服务器资源消耗),由于请求取消可快速重置大量流,该漏洞已于2023年8月至10月在野利用。(CVE-2023-44487)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-44487 | KY3.5.3 | nghttp2 | Fixed |
| CVE-2023-39325 | KY3.5.3 | golang | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| etcd | x86_64 | 3.4.14-12.ky3_5.kb1 |
| etcd | aarch64 | 3.4.14-12.ky3_5.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
