2.4. Migration Toolkit for Containers 1.7.14 릴리스 노트
2.4.1. 해결된 문제
이 릴리스에는 다음과 같은 해결된 문제가 있습니다.
CVE-2023-39325 CVE-2023-44487: 다양한 취약점
MTC(Migration Toolkit for Containers)에서 사용하는 HTTP/2 프로토콜의 멀티플렉싱 스트림을 처리하는 데 취약점이 발견되었습니다. 클라이언트는 반복적으로 새로운 멀티플렉싱 스트림을 요청한 다음 즉시 해당 요청을 취소하기 위해 RST_STREAM
프레임을 보낼 수 있습니다. 이 활동을 통해 스트림 설정 및 해제 측면에서 서버에 대한 추가 워크로드가 생성되었지만 연결당 최대 활성 스트림 수에 대한 서버 측 제한을 피할 수 있었습니다. 이로 인해 서버 리소스 사용량으로 인해 서비스 거부가 발생했습니다.
이 문제를 해결하려면 MTC 1.7.14로 업그레이드하십시오.
자세한 내용은 (CVE-2023-44487) 및 (CVE-2023-39325) 를 참조하십시오.
CVE-2023-39318 CVE-2023-39319 CVE-2023-39321: 다양한 결함
(CVE-2023-39318): MTC에서 사용하는 Golang에서 취약점이 발견되었습니다.
html/template
패키지는 <script
> 컨텍스트의 HTML-예:""
주석 토큰 또는 hashbang"#!"
주석 토큰을 올바르게 처리하지 않았습니다. 이 취약점으로 인해 템플릿 구문 분석기가 <script
> 컨텍스트의 내용을 부적절하게 해석하여 작업이 부적절하게 이스케이프될 수 있습니다.(CVE-2023-39319): MTC에서 사용하는 Golang에서 취약점이 발견되었습니다.
html/template
패키지는 <script> 컨텍스트의 JavaScript 리터럴 내에"<script"
,"<!-"
,"</script"
의 발생을 처리하는 데 적절한 규칙을 적용하지 않았습니다. 이로 인해 템플릿 구문 분석기에서 스크립트 컨텍스트가 조기 종료되도록 잘못 간주하여 작업이 부적절하게 이스케이프될 수 있습니다.(CVE-2023-39321): MTC에서 사용하는 Golang에서 취약점이 발견되었습니다. QUIC 연결에 대한 불완전한 post-handshake 메시지를 처리하면 패닉이 발생할 수 있습니다.
(CVE-2023-3932): MTC에서 사용하는 Golang에서 취약점이 발견되었습니다. QUIC 전송 프로토콜을 사용하는 연결은 post-handshake 메시지를 읽을 때 버퍼링된 데이터 양에 상한을 설정하지 않아 악의적인 QUIC 연결이 바인딩되지 않은 메모리 증가를 초래할 수 있었습니다.
이러한 문제를 해결하려면 MTC 1.7.14로 업그레이드하십시오.
자세한 내용은 (CVE-2023-39318), (CVE-2023-39319) 및 (CVE-2023-39321) 를 참조하십시오.
2.4.2. 확인된 문제
이 릴리스에는 알려진 문제가 없습니다.