发行注记

CVE-2023-44487 HTTP/2: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多路流中发现了一个安全漏洞，它被 Migration Toolkit for Applications (MTA)使用。客户端可以重复请求新的多路流，然后立即发送 RST_STREAM 帧来取消这些请求。对于设置和分离流，这个活动会为服务器创建额外的工作负载，但避免了每个连接的最大活跃流数量的服务器端限制。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

CVE-2023-39325: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击（使用 Go 语言软件包中的Rapid Reset Attack）

HTTP/2 协议易受拒绝服务攻击的影响，因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下，设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

应用程序评估： 保存，因为草案 无法正常工作

在应用程序 评估 表单上，作为草案的 Save 无法正常工作。MTA-1207

RHSSO

MTA 6.1.1 发行版本解决了用户在 Red Hat Single Sign-On (RH-SSO) 版本 7.6.3 发布后遇到的问题，这会导致许多 MTA 6.x 的新安装不可用。有关此问题的更多信息，请参阅 RHSSO-2514。

创建自定义迁移目标

管理员可以创建和维护自定义迁移目标，并使用软件仓库的自定义规则填充它们。这些自定义迁移目标可供非管理员用户使用。这简化了在机构整个应用程序产品组合中常见的具有类似技术的应用程序分析配置的过程。

自动标记资源

MTA 使用分析模块在分析期间收集的技术堆栈信息来生成标签并将其自动附加到应用程序。

下载 HTML 和 CSV 分析报告

用户可以下载应用程序分析生成的 HTML 和 CSV 报告。默认情况下，这个选项被禁用，它可以在 Administration 视图中的新 General 菜单中启用。

在不评估的情况下查看应用程序

架构师可以在不先运行评估的情况下查看应用程序。默认情况下，这个选项被禁用，它可以在 Administration 视图中的新 General 菜单中启用。

支持断开连接的安装

MTA 在 air-gapped OpenShift Container Platform 环境中完全支持断开连接的安装。

命名的更改

MTA 用户界面的一些实体和菜单条目已被重命名为明确。Administrator 和 Developer 视图已分别重命名为 Administration 和 Migration。标签类型（Tag Types）现在命名为标签目录（Tag Categories）。

CVE-2023-44487 HTTP/2: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多路流中发现了一个安全漏洞，它被 Migration Toolkit for Applications (MTA)使用。客户端可以重复请求新的多路流，然后立即发送 RST_STREAM 帧来取消这些请求。对于设置和分离流，这个活动会为服务器创建额外的工作负载，但避免了每个连接的最大活跃流数量的服务器端限制。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

CVE-2023-39325: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击（使用 Go 语言软件包中的Rapid Reset Attack）

HTTP/2 协议易受拒绝服务攻击的影响，因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下，设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

如果自定义规则目录的名称中有空格，应用程序分析会失败

在配置应用分析期间，如果用户使用 CLI 从存储库获取自定义规则，且根路径中包含空格，CLI 命令不会被正确生成，分析会失败。用户必须确保，使用自定义规则的目录名称中没有空格。