This documentation is for a release that is no longer maintained
See documentation for the latest supported version 3 or the latest supported version 4.2.4. Migration Toolkit for Containers 1.7.14 发行注记
2.4.1. 已解决的问题 复制链接链接已复制到粘贴板!
此发行版本有以下解决的问题:
CVE-2023-39325 CVE-2023-44487: 各种安全漏洞
在处理 HTTP/2 协议(被 MTC 使用)中的多路流中发现了一个安全漏洞。 客户端可以重复请求新的多路流,然后立即发送 RST_STREAM
帧来取消这些请求。对于设置和分离流,这个活动会为服务器创建额外的工作负载,但避免了每个连接的最大活跃流数量的服务器端限制。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。
要解决这个问题,升级到 MTC 1.7.14。
如需了解更多详细信息,请参阅 (CVE-2023-44487) 和 (CVE-2023-39325)。
CVE-2023-39318 CVE-2023-39319 CVE-2023-39321: 各种安全漏洞
(CVE-2023-39318): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。
html/template
软件包没有正确处理类似 HTML 的""
注释令牌,或者在<script>
上下文中正确处理 hashbang"#!"
注释令牌。此漏洞可能会导致模板解析器错误地解释<script>
上下文的内容,从而导致操作被不当转义。(CVE-2023-39319): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。对于 <script> 中的 JavaScript 代码,
html/template
软件包没有应用正确的规则来处理同时存在的"<script"
,"<!--"
, 和"</script"
。这可能会导致模板解析器错误地认为脚本已结束,从而导致操作被不当转义。(CVE-2023-39321): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。为 QUIC 连接处理不完整的 post-handshake 消息可能会导致 panic。
(CVE-2023-3932): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。使用 QUIC 传输协议进行连接时,当在读取握手后消息时对缓冲区的数据量没有设置上限,从而使恶意的 QUIC 连接可以导致内存的使用大量增加。
要解决这个问题,升级到 MTC 1.7.14。
如需了解更多详细信息,请参阅 (CVE-2023-39318), (CVE-2023-39319) 和 (CVE-2023-39321)。
2.4.2. 已知问题 复制链接链接已复制到粘贴板!
这个版本没有主要已知的问题。