Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

2.4. Migration Toolkit for Containers 1.7.14 リリースノート

2.4.1. 解決した問題
リンクのコピー

このリリースでは、次の問題が解決されています。

CVE-2023-39325 CVE-2023-44487: さまざまな不具合

Migration Toolkit for Containers (MTC) で使用される HTTP/2 プロトコルでの多重化ストリームの処理に不具合が見つかりました。 クライアントは、新しい多重化ストリームのリクエストを繰り返し作成し、すぐに RST_STREAM フレームを送信してそれらのリクエストをキャンセルする可能性があります。このアクティビティーにより、ストリームのセットアップと削除に関してサーバーに追加のワークロードが発生しましたが、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限は回避されました。その結果、サーバーリソースの消費によりサービス拒否が発生しました。

この問題を解決するには、MTC 1.7.14 にアップグレードします。

詳細は、(CVE-2023-44487) および (CVE-2023-39325) を参照してください。

CVE-2023-39318 CVE-2023-39319 CVE-2023-39321: さまざまな不具合

  • (CVE-2023-39318): MTC が使用する Golang に不具合が検出される。html/template パッケージは、<script> コンテキスト内のコメントトークンで、HTML のような "" コメントトークンやハッシュバン "#!" を適切に処理しませんでした。この欠陥により、テンプレートパーサーが <script> コンテキストの内容を不適切に解釈し、アクションが不適切にエスケープされる可能性があります。

  • (CVE-2023-39319): MTC が使用する Golang に不具合が検出される。html/template パッケージは、<script> コンテキストの JavaScript リテラル内の "<script""<!--"、および "</script" の出現を処理するための適切なルールを適用していませんでした。これにより、テンプレートパーサーがスクリプトコンテキストが早期に終了すると誤って判断し、アクションが不適切にエスケープされる可能性があります。 

  • (CVE-2023-39321): MTC が使用する Golang に不具合が検出される。QUIC 接続の不完全なポストハンドシェイクメッセージを処理すると、パニックが発生する可能性があります。

  • (CVE-2023-3932):MTC が使用する Golang に不具合が検出される。QUIC トランスポートプロトコルを使用した接続では、ハンドシェイク後のメッセージを読み取るときにバッファーされるデータ量に上限が設定されていなかったため、悪意のある QUIC 接続によって無制限のメモリー増加が発生する可能性がありました。 

これらの問題を解決するには、MTC 1.7.14 にアップグレードします。

詳細は、(CVE-2023-39318)(CVE-2023-39319)、および (CVE-2023-39321) を参照してください。

2.4.2. 既知の問題
リンクのコピー

このリリースには重大な既知の問題はありません。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat