阿里云漏洞库

漏洞描述

A flaw was found in undertow. Servlets annotated with @MultipartConfig may cause an OutOfMemoryError due to large multipart content. This may allow unauthorized users to cause remote Denial of Service (DoS) attack. If the server uses fileSizeThreshold to limit the file size, it's possible to bypass the limit by setting the file name in the request to null.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/errata/RHSA-2023:4505
https://access.redhat.com/errata/RHSA-2023:4506
https://access.redhat.com/errata/RHSA-2023:4507
https://access.redhat.com/errata/RHSA-2023:4509
https://access.redhat.com/errata/RHSA-2023:4918
https://access.redhat.com/errata/RHSA-2023:4919
https://access.redhat.com/errata/RHSA-2023:4920
https://access.redhat.com/errata/RHSA-2023:4921
https://access.redhat.com/errata/RHSA-2023:4924
https://access.redhat.com/security/cve/CVE-2023-3223
https://bugzilla.redhat.com/show_bug.cgi?id=2209689
https://security.netapp.com/advisory/ntap-20231027-0004/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	7.4	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform_text-only_advisories	-	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.11	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.12	-
	运行在以下环境
	应用	redhat	openshift_container_platform_for_ibm_linuxone	4.10	-
	运行在以下环境
	应用	redhat	openshift_container_platform_for_ibm_linuxone	4.9	-
	运行在以下环境
	应用	redhat	openshift_container_platform_for_power	4.10	-
	运行在以下环境
	应用	redhat	openshift_container_platform_for_power	4.9	-
	运行在以下环境
	应用	redhat	single_sign-on	-	-
	运行在以下环境
	应用	redhat	single_sign-on	7.6	-
	运行在以下环境
	应用	redhat	undertow	*		Up to (excluding) 2.2.24
	运行在以下环境
	系统	alibaba_cloud_linux_3	kernel	*		Up to (excluding) 5.10.134-15.al8
	运行在以下环境
	系统	alma_linux_9	kernel	*		Up to (excluding) 5.14.0-284.18.1.rt14.303.el9_2
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 5.15.110-70.143.amzn2
	运行在以下环境
	系统	amazon_2023	kernel	*		Up to (excluding) 6.1.29-47.49.amzn2023
	运行在以下环境
	系统	centos_7	kernel	*		Up to (excluding) 3.10.0-1160.102.1.el7
	运行在以下环境
	系统	kylinos_aarch64_V10	kernel	*		Up to (excluding) 4.19.90-52.25.v2207.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	kernel	*		Up to (excluding) 4.19.90-52.25.v2207.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	kernel	*		Up to (excluding) 4.19.90-52.25.v2207.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	kernel	*		Up to (excluding) 4.19.90-52.25.v2207.ky10
	运行在以下环境
	系统	opensuse_5.3	kernel	*		Up to (excluding) 5.14.21-150400.15.37.2
	运行在以下环境
	系统	opensuse_Leap_15.4	dtb-al	*		Up to (excluding) 5.3.18-150300.59.124.1
	运行在以下环境
	系统	opensuse_Leap_15.5	kernel	*		Up to (excluding) 5.14.21-150500.13.5.1
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 5.4.17-2136.320.7.el7
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 5.4.17-2136.320.7.el8
	运行在以下环境
	系统	redhat	enterprise_linux	7.0	-
	运行在以下环境
	系统	redhat	enterprise_linux	8.0	-
	运行在以下环境
	系统	redhat	enterprise_linux	9.0	-
	运行在以下环境
	系统	redhat_7	kernel	*		Up to (excluding) 3.10.0-1160.102.1.el7
	运行在以下环境
	系统	redhat_9	kernel	*		Up to (excluding) 5.14.0-284.18.1.el9_2

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-noinfo

中危 由于 @multipartconfig 处理而导致内存不足错误 (CVE-2023-3223)

漏洞描述

解决建议

参考链接

受影响软件情况

中危由于 @multipartconfig 处理而导致内存不足错误 (CVE-2023-3223)