5.2. 已知问题

MTA 版本 6.2.0 有以下问题。

CVE-2023-44487: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多个流中发现了一个安全漏洞。HTTP/2 协议允许拒绝服务（服务器资源消耗），因为请求可以快速重置多个流。服务器必须设置和停止流，同时没有为每个连接的最大活跃流数达到任何服务器端限制，这会导致因为服务器资源消耗而拒绝服务。

这个问题中列出了以下问题：

要解决这个问题，请升级到 MTA 6.2.1 或更高版本。

如需了解更多详细信息，请参阅 CVE-2023-44487 (Rapid Reset Attack)

CVE-2023-39325: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击（使用 Go 语言软件包中的Rapid Reset Attack）

HTTP/2 协议易受拒绝服务攻击的影响，因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下，设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

这个问题中列出了以下问题：

要解决这个问题，请升级到 MTA 6.2.1 或更高版本。

重新启用 Keycloak 中断 MTA

Keycloak 默认启用。如果您禁用并重新启用 Keycloak，则无法在再次登录后在 MTA web 控制台中执行任何操作。

当禁用 auth/Keycloak 并重新启用时，造成此错误的原因是，因为 credential-mta-rhsso secret 被更新。

建议的解决方法是在重新启用 auth 后恢复 credential-mta-rhsso secret 中的旧密码。MTA-1152

在从存储库获取规则时，分析会失败，其中包含名称中包含空格的文件夹

在分析期间从存储库获取自定义规则时，如果 Root path 字段包含空格，mta-cli 命令不会被正确生成，分析会失败。MTA-458

对应用程序、作业功能和业务服务禁用更新通知

对应用程序、 作业功能和 业务服务 禁用更新通知，因此不会显示通知。MTA-1024

不需要存储库类型字段

在分析中保存配置规则文件时，不需要 Repository type 字段。MTA-1047

新 JIRA 实例的 false 'not connected' 状态

在创建新的 JIRA 实例时，连接状态最初显示为 Not connected，然后再进入 Connected，这会导致用户认为提供的凭证不正确。MTA-1019

有关本发行版本中所有已知问题的完整列表，请参阅 JIRA 中的已知问题列表。