摘要:
etcd security update
安全等级: High
公告ID: KylinSec-SA-2025-2522
发布日期: 2025年6月23日
安全修复项:
恶意HTTP发送者可通过分块扩展(chunk extensions)导致接收方在读取请求或响应主体时,从网络读取比实际主体内容多得多的字节。当处理程序未能完整读取请求主体时,恶意HTTP客户端可进一步利用此漏洞使服务器自动读取大量数据(最多约1GiB)。分块扩展是一项鲜少使用的HTTP特性,它允许在使用分块编码传输的请求或响应主体中包含额外元数据。net/http库的分块编码读取器会丢弃这些元数据。攻击者可通过在传输的每个字节后插入大段元数据来实施攻击。当前分块读取器会在实际主体与编码字节的比例过小时返回错误。(CVE-2023-39326)
攻击者可能通过发送过量CONTINUATION帧,导致HTTP/2端点读取任意数量的头部数据。维护HPACK状态需要解析并处理连接上的所有HEADERS和CONTINUATION帧。当请求头部超过MaxHeaderBytes限制时,系统虽不会分配内存存储超额头部,但仍会进行解析。这使得攻击者能迫使HTTP/2端点读取任意数量的头部数据(这些数据均关联于即将被拒绝的请求)。这些头部可能包含霍夫曼编码数据,接收方解码所需的计算资源远高于攻击者的发送成本。修复方案设置了在处理超额头部帧数量的上限,超过该限制将关闭连接。(CVE-2023-45288)
net/http库的HTTP/1.1客户端错误处理了服务器对带有"Expect: 100-continue"头的请求返回非1xx(200或更高)状态码的情况。该错误可能导致客户端连接处于无效状态,致使该连接上发送的下一个请求失败。攻击者向net/http/httputil.ReverseProxy代理发送请求时,可通过构造引发后端返回非1xx响应的"Expect: 100-continue"请求来利用此缺陷——每个此类请求都会使代理连接失效,导致后续使用该连接的一个请求失败。(CVE-2024-24791)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-39326 | V6 | golang | Fixed |
| CVE-2023-45288 | V6 | golang | Fixed |
| CVE-2024-24791 | V6 | golang | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| etcd | x86_64 | 3.4.14-16.ks6.kb1 |
| etcd | aarch64 | 3.4.14-16.ks6.kb1 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
