Undertow:多次关闭与 wildfly-http-client 协议的连接后出现内存不足错误 (CVE-2024-1635)
CVE编号
CVE-2024-1635利用情况
暂无补丁情况
N/A披露时间
2024-02-20漏洞描述
在Undertow中发现了一个漏洞,该漏洞影响支持wildfly-http-client协议的服务器。当恶意用户打开并立即关闭服务器的HTTP端口连接后,服务器将在一定时间内枯竭内存和打开文件限制,具体取决于可用内存的量。在HTTP升级到远程连接时,如果RemotingConnection被Remoting ServerConnectionOpenListener关闭,WriteTimeoutStreamSinkConduit将泄漏连接。由于远程连接在HTTP升级时由Undertow发起,存在一个外部层作为远程连接的一部分。当在连接打开过程期间关闭连接时,该连接不知道最外层结构。因此,在这种情况下,Undertow WriteTimeoutStreamSinkConduit不会收到关闭连接的通知。由于WriteTimeoutStreamSinkConduit创建了一个超时任务,整个依赖树通过该任务泄漏,该任务添加到XNIO WorkerThread中。因此,workerThread指向Undertow管道,其中包含连接并导致泄漏。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://access.redhat.com/security/cve/CVE-2024-1635 | |
| https://bugzilla.redhat.com/show_bug.cgi?id=2264928 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-400 | 未加控制的资源消耗(资源穷尽) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论