Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.4. Migration Toolkit for Containers 1.7.14 发行注记

2.4.1. 已解决的问题
复制链接

此发行版本有以下解决的问题:

CVE-2023-39325 CVE-2023-44487: 各种安全漏洞

在处理 HTTP/2 协议(被 MTC 使用)中的多路流中发现了一个安全漏洞。 客户端可以重复请求新的多路流,然后立即发送 RST_STREAM 帧来取消这些请求。对于设置和分离流,这个活动会为服务器创建额外的工作负载,但避免了每个连接的最大活跃流数量的服务器端限制。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。

要解决这个问题,升级到 MTC 1.7.14。

如需了解更多详细信息,请参阅 (CVE-2023-44487)(CVE-2023-39325)

CVE-2023-39318 CVE-2023-39319 CVE-2023-39321: 各种安全漏洞

  • (CVE-2023-39318): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。html/template 软件包没有正确处理类似 HTML 的 "" 注释令牌,或者在 <script> 上下文中正确处理 hashbang "#!" 注释令牌。此漏洞可能会导致模板解析器错误地解释 <script> 上下文的内容,从而导致操作被不当转义。

  • (CVE-2023-39319): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。对于 <script> 中的 JavaScript 代码,html/template 软件包没有应用正确的规则来处理同时存在的 "<script", "<!--", 和 "</script"。这可能会导致模板解析器错误地认为脚本已结束,从而导致操作被不当转义。 

  • (CVE-2023-39321): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。为 QUIC 连接处理不完整的 post-handshake 消息可能会导致 panic。

  • (CVE-2023-3932): 在 Golang 中发现了一个安全漏洞,它被 MTC 使用。使用 QUIC 传输协议进行连接时,当在读取握手后消息时对缓冲区的数据量没有设置上限,从而使恶意的 QUIC 连接可以导致内存的使用大量增加。 

要解决这个问题,升级到 MTC 1.7.14。

如需了解更多详细信息,请参阅 (CVE-2023-39318), (CVE-2023-39319)(CVE-2023-39321)

2.4.2. 已知问题
复制链接

这个版本没有主要已知的问题。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat