English

◀◁ 뒤로 취약점ID 210268 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 원격 호스트에 설치된 Apache httpd 버전이 2.4.58 이전입니다. 따라서 2.4.58 권고에 언급된 취약점의 영향을 받습니다. - RST 플래그가 있는 패킷이 HTTP/2 스트림을 재설정한 후 지연된 메모리 할당 해제로 인해 메모리 고갈 조건이 생성됩니다. RST 플래그가 처리된 직후에 메모리가 해제되는 것이 아니라 연결이 닫힌 후에만 메모리가 해제되므로 공격자는 연결을 닫지 않고도 새로운 요청을 보내고 RST 패킷으로 플러시함으로써 메모리 소비를 크게 늘릴 수 있습니다.리포터가 자체 테스트 클라이언트를 사용하여 CVE-2023-44487(HTTP/2 Rapid Reset Exploit)을 테스트하는 동안 발견한 것입니다. "일반적인" HTTP/2 사용 중에는 이 버그가 발생할 확률이 매우 낮습니다. 연결이 닫히거나 시간이 초과되기 전에는 보관된 메모리가 눈에 띄지 않습니다. 사용자는 문제를 해결하는 버전 2.4.58로 업그레이드하는 것이 좋습니다. (CVE-2023-45802) * 참고 사이트: https://httpd.apache.org/security/vulnerabilities_24.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2MBEPPC36UBVOZZNAXFHKLFGSLCMN5LI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BFQD3KUEMFBHPAPBGLWQC34L4OWL5HAZ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WE2I52RHNNU42PX6NZ2RBUHSFFJ2LVZX/ https://security.netapp.com/advisory/ntap-20231027-0011/ * 영향을 받는 플랫폼: Apache HTTP Server 2.4.58 이전 모든 버전 Any operating system Any version 해결책 Apache Software Foundation 웹 사이트인 http://httpd.apache.org/download.cgi 에서 구할 수 있는 Apache HTTP Server의 가장 최신 버전(2.4.58 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2023-45802 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)