7.2. 已解决的问题

CVE-2023-44487 netty-codec-http2: HTTP/2: 多 HTTP/2 启用的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack)的影响

在处理 HTTP/2 协议中的多路流中发现了一个安全漏洞，它被 Migration Toolkit for Runtimes (MTR)使用。客户端可以重复请求新的多路流，并立即发送 RST_STREAM 帧来取消它。这在设置和分离流方面为服务器创建额外的工作负载，同时避免每个连接的最大活跃流数量的服务器端限制，从而导致因为服务器资源消耗而拒绝服务。(WINDUP-4072)

CVE-2023-37460 plexus-archiver: Arbitrary File Creation in AbstractUnArchiver

在 Plexus Archiver 中发现了一个安全漏洞，MTR 会使用该归档器。 在使用 AbstractUnArchiver 进行提取时，存档可能会导致任意文件创建和可能执行远程代码(RCE)。如果目标目录中带有条目作为目标不存在的符号链接，则此缺陷将绕过目录目的地验证。plexus-archiver 是一个测试范围工件，因此不会包含在任何 MTR 发行版中。(WINDUP-4053)

EAP 7.3 和 EAP 7.4 规则带有目标 EAP 7.0 及更高版本

此 MTR 发行版本对一些支持迁移到 EAP 7.3 及更高版本的规则进行修正，以确保如果目标是 EAP 7.2 或更高版本，则忽略规则。(WINDUPRULE-1038)