CVE-2023-24534

一、漏洞信息
漏洞编号：CVE-2023-24534
漏洞归属组件：etcd
漏洞归属的版本：3.4.7
CVSS V3.0分值：
BaseScore：7.5 High
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞简述：
HTTP and MIME header parsing can allocate large amounts of memory, even when parsing small inputs, potentially leading to a denial of service. Certain unusual patterns of input data can cause the common function used to parse HTTP and MIME headers to allocate substantially more memory than required to hold the parsed headers. An attacker can exploit this behavior to cause an HTTP server to allocate large amounts of memory from a small request, potentially leading to memory exhaustion and a denial of service. With fix, header parsing now correctly allocates only the memory required to hold parsed headers.
漏洞公开时间：2023-04-07 00:15:07
漏洞创建时间：2023-04-04 22:50:17
漏洞详情参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2023-24534

更多参考(点击展开)

参考来源	参考链接	来源链接
security.golang.org	https://go.dev/cl/481994
security.golang.org	https://go.dev/issue/58975
security.golang.org	https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8
security.golang.org	https://pkg.go.dev/vuln/GO-2023-1704
security.golang.org	https://security.gentoo.org/glsa/202311-09
security.golang.org	https://security.netapp.com/advisory/ntap-20230526-0007/
redhat_bugzilla	https://github.com/golang/go/issues/58975	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://github.com/golang/go/issues/59268	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3167	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3445	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3450	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3455	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3367	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3540	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3624	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3612	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3918	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:3943	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4003	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4093	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4470	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4335	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4627	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4664	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4657	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:4986	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:5964	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:5976	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6346	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6363	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6402	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6420	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6473	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6474	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6832	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6938	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
redhat_bugzilla	https://access.redhat.com/errata/RHSA-2023:6939	https://bugzilla.redhat.com/show_bug.cgi?id=2184483
ubuntu	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24534	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://go.dev/issue/58975	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c (go1.20.3)	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://github.com/golang/go/commit/d6759e7a059f4208f07aa781402841d7ddaaef96 (go1.19.8)	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://nvd.nist.gov/vuln/detail/CVE-2023-24534	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://launchpad.net/bugs/cve/CVE-2023-24534	https://ubuntu.com/security/CVE-2023-24534
ubuntu	https://security-tracker.debian.org/tracker/CVE-2023-24534	https://ubuntu.com/security/CVE-2023-24534
debian		https://security-tracker.debian.org/tracker/CVE-2023-24534
gentoo		https://security.gentoo.org/glsa/202311-09
anolis		https://anas.openanolis.cn/cves/detail/CVE-2023-24534
cve_search		https://go.dev/issue/58975
cve_search		https://pkg.go.dev/vuln/GO-2023-1704
cve_search		https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8
cve_search		https://go.dev/cl/481994
cve_search		https://security.netapp.com/advisory/ntap-20230526-0007/
mageia		http://advisories.mageia.org/MGASA-2023-0145.html
go	https://go.dev/issue/58975	https://github.com/golang/vulndb/blob/master/reports/GO-2023-1704.yaml
go	https://go.dev/cl/481994	https://github.com/golang/vulndb/blob/master/reports/GO-2023-1704.yaml
go	https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8	https://github.com/golang/vulndb/blob/master/reports/GO-2023-1704.yaml
osv	https://go.dev/cl/481994	https://osv.dev/vulnerability/CVE-2023-24534
osv	https://go.dev/issue/58975	https://osv.dev/vulnerability/CVE-2023-24534
osv	https://pkg.go.dev/vuln/GO-2023-1704	https://osv.dev/vulnerability/CVE-2023-24534
osv	https://security.gentoo.org/glsa/202311-09	https://osv.dev/vulnerability/CVE-2023-24534
osv	https://security.netapp.com/advisory/ntap-20230526-0007/	https://osv.dev/vulnerability/CVE-2023-24534
osv	https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8	https://osv.dev/vulnerability/CVE-2023-24534
amazon_linux_explore	https://access.redhat.com/security/cve/CVE-2023-24534	https://explore.alas.aws.amazon.com/CVE-2023-24534.html
amazon_linux_explore	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24534	https://explore.alas.aws.amazon.com/CVE-2023-24534.html

漏洞分析指导链接：
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
openBrain开源漏洞感知系统
漏洞补丁信息：

详情(点击展开)

影响的包	修复补丁	来源
	https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c (go1.20.3)	ubuntu
	https://github.com/golang/go/commit/d6759e7a059f4208f07aa781402841d7ddaaef96 (go1.19.8)	ubuntu
	https://go.dev/cl/481994	nvd
	https://go.dev/issue/58975	nvd
	https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8	nvd
	https://pkg.go.dev/vuln/GO-2023-1704	nvd
golang-1.10	https://github.com/golang/go/commit/d6759e7a059f4208f07aa781402841d7ddaaef96	ubuntu

二、漏洞分析结构反馈
影响性分析说明：
HTTP和MIME头部解析在处理输入时，即使这些输入很小，也可能分配大量的内存，这可能导致拒绝服务攻击。特定的非典型输入数据模式能够使用于解析HTTP和MIME头部的通用函数分配比实际存储解析后的头部所需更多的内存。攻击者可以利用这种行为，通过发送小的请求使HTTP服务器分配大量内存，从而可能导致内存耗尽和拒绝服务。修复之后，头部解析现在能够正确地仅分配存储解析后的头部所需的内存量。这一改进有助于防止由于恶意构造的请求导致的不必要的内存分配，从而减少因内存耗尽造成的拒绝服务风险。上游修复方案:https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c，golang组件版本问题导致，openEuler master和24.03相关分支对应的golang为1.21.4不受影响，20.03和22.03相关分支受影响。
openEuler评分：
7.5
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响)：
1.openEuler-20.03-LTS-SP3(3.4.14):受影响
2.openEuler-22.03-LTS(3.4.14):受影响
3.openEuler-22.03-LTS-SP1(3.4.14):受影响
4.openEuler-22.03-LTS-SP4(3.4.14):受影响
5.openEuler-20.03-LTS-SP4(3.4.14):受影响
6.openEuler-22.03-LTS-SP3(3.4.14):受影响
7.openEuler-20.03-LTS-SP1:不受影响
8.openEuler-24.03-LTS(3.4.14):不受影响
9.openEuler-24.03-LTS-Next(3.4.14):不受影响
10.master(3.4.14):不受影响
11.openEuler-24.03-LTS-SP1(3.4.14):不受影响

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1:否
2.openEuler-20.03-LTS-SP3(3.4.14):否
3.openEuler-22.03-LTS(3.4.14):否
4.openEuler-22.03-LTS-SP1(3.4.14):否
5.openEuler-24.03-LTS(3.4.14):否
6.openEuler-24.03-LTS-Next(3.4.14):否
7.openEuler-22.03-LTS-SP4(3.4.14):否
8.master(3.4.14):否
9.openEuler-24.03-LTS-SP1(3.4.14):否
10.openEuler-20.03-LTS-SP4(3.4.14):否
11.openEuler-22.03-LTS-SP3(3.4.14):否

原因说明：
1.master(3.4.14):
2.openEuler-20.03-LTS-SP4(3.4.14):
3.openEuler-22.03-LTS-SP3(3.4.14):
4.openEuler-22.03-LTS-SP4(3.4.14):
5.openEuler-24.03-LTS(3.4.14):
6.openEuler-24.03-LTS-Next(3.4.14):
7.openEuler-24.03-LTS-SP1(3.4.14):

@pixiake ,@duguhaotian ,@caihaomin ,@yangzhao_kl ,@weibaohui ,@biannm ,@jianminw ,@jxy_git ,@wonleing
issue处理注意事项:
1. 当前issue受影响的分支提交pr时, 须在pr描述中填写当前issue编号进行关联, 否则无法关闭当前issue;
2. 模板内容需要填写完整, 无论是受影响或者不受影响都需要填写完整内容,未引入的分支不需要填写, 否则无法关闭当前issue;
3. 以下为模板中需要填写完整的内容, 请复制到评论区回复, 注: 内容的标题名称(影响性分析说明, openEuler评分, 受影响版本排查(受影响/不受影响), 修复是否涉及abi变化(是/否))不能省略,省略后cve-manager将无法正常解析填写内容.

影响性分析说明:

openEuler评分: (评分和向量)

受影响版本排查(受影响/不受影响):
1.openEuler-20.03-LTS-SP1:
2.openEuler-20.03-LTS-SP3(3.4.14):
3.openEuler-22.03-LTS(3.4.14):
4.openEuler-22.03-LTS-SP1(3.4.14):

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1:
2.openEuler-20.03-LTS-SP3(3.4.14):
3.openEuler-22.03-LTS(3.4.14):
4.openEuler-22.03-LTS-SP1(3.4.14):

issue处理具体操作请参考:
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
pr关联issue具体操作请参考:
https://gitee.com/help/articles/4142

Hi openeuler-ci-bot, welcome to the openEuler Community.
I'm the Bot here serving you. You can find the instructions on how to interact with me at Here.
If you have any questions, please contact the SIG: sig-CloudNative, and any of the maintainers: @pixiake , @duguhaotian , @caihaomin , @yangzhao_kl , @weibaohui , @biannm , @jianminw , @jxy_git , @wonleing

参考网址	关联pr	状态	补丁链接
https://www.opencve.io/cve/CVE-2023-24534
https://security-tracker.debian.org/tracker/CVE-2023-24534	None	None	https://github.com/golang/go/commit/d6759e7a059f4208f07aa781402841d7ddaaef96 https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c
https://nvd.nist.gov/vuln/detail/CVE-2023-24534
https://ubuntu.com/security/CVE-2023-24534	None	None	https://discourse.ubuntu.com/c/ubuntu-pro
http://www.cnnvd.org.cn/web/vulnerability/queryLds.tag?qcvCnnvdid=CVE-2023-24534

说明：补丁链接仅供初步排查参考，实际可用性请人工再次确认，补丁下载验证可使用CVE补丁工具。
若补丁不准确，烦请在此issue下评论 '/report-patch 参考网址补丁链接1,补丁链接2' 反馈正确信息，便于我们不断优化工具，不胜感激。
如 /report-patch https://security-tracker.debian.org/tracker/CVE-2021-3997 https://github.com/systemd/systemd/commit/5b1cf7a9be37e20133c0208005274ce4a5b5c6a1

影响性分析说明：
HTTP和MIME头部解析在处理输入时，即使这些输入很小，也可能分配大量的内存，这可能导致拒绝服务攻击。特定的非典型输入数据模式能够使用于解析HTTP和MIME头部的通用函数分配比实际存储解析后的头部所需更多的内存。攻击者可以利用这种行为，通过发送小的请求使HTTP服务器分配大量内存，从而可能导致内存耗尽和拒绝服务。修复之后，头部解析现在能够正确地仅分配存储解析后的头部所需的内存量。这一改进有助于防止由于恶意构造的请求导致的不必要的内存分配，从而减少因内存耗尽造成的拒绝服务风险。上游修复方案:https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c，golang组件版本问题导致，openEuler master和24.03相关分支对应的golang为1.21.4不受影响，20.03和22.03相关分支受影响。
openEuler评分：
7.5
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响)：
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题）
5.openEuler-24.03-LTS(3.4.14):不受影响
6.openEuler-24.03-LTS-Next(3.4.14):不受影响
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题）
8.master(3.4.14):不受影响

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1:否
2.openEuler-20.03-LTS-SP3(3.4.14):否
3.openEuler-22.03-LTS(3.4.14):否
4.openEuler-22.03-LTS-SP1(3.4.14):否
5.openEuler-24.03-LTS(3.4.14):否
6.openEuler-24.03-LTS-Next(3.4.14):否
7.openEuler-22.03-LTS-SP4(3.4.14):否
8.master(3.4.14):否

原因说明:
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题）
5.openEuler-24.03-LTS(3.4.14):不受影响
6.openEuler-24.03-LTS-Next(3.4.14):不受影响
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题）
8.master(3.4.14):不受影响

@running-tortoise 4.受影响版本排查(受影响/不受影响)=> 没有分析或未按正确格式填写，涉及分支: [openEuler-20.03-LTS-SP4 openEuler-22.03-LTS-SP3 openEuler-24.03-LTS-SP1]

影响性分析说明：
HTTP和MIME头部解析在处理输入时，即使这些输入很小，也可能分配大量的内存，这可能导致拒绝服务攻击。特定的非典型输入数据模式能够使用于解析HTTP和MIME头部的通用函数分配比实际存储解析后的头部所需更多的内存。攻击者可以利用这种行为，通过发送小的请求使HTTP服务器分配大量内存，从而可能导致内存耗尽和拒绝服务。修复之后，头部解析现在能够正确地仅分配存储解析后的头部所需的内存量。这一改进有助于防止由于恶意构造的请求导致的不必要的内存分配，从而减少因内存耗尽造成的拒绝服务风险。上游修复方案:https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c，golang组件版本问题导致，openEuler master和24.03相关分支对应的golang为1.21.4不受影响，20.03和22.03相关分支受影响。
openEuler评分：
7.5
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题导致）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题导致）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题导致）
5.openEuler-24.03-LTS(3.4.14):不受影响（golang版本对应1.21.4）
6.openEuler-24.03-LTS-Next(3.4.14):不受影响（golang版本对应1.21.4）
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题导致）
8.master(3.4.14):不受影响
9.openEuler-20.03-LTS-SP4:受影响（golang版本问题导致）
10.openEuler-22.03-LTS-SP3:受影响（golang版本问题导致）
11.openEuler-24.03-LTS-SP1：不受影响

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1:否
2.openEuler-20.03-LTS-SP3(3.4.14):否
3.openEuler-22.03-LTS(3.4.14):否
4.openEuler-22.03-LTS-SP1(3.4.14):否
5.openEuler-24.03-LTS(3.4.14):否
6.openEuler-24.03-LTS-Next(3.4.14):否
7.openEuler-22.03-LTS-SP4(3.4.14):否
8.master(3.4.14):否
9.openEuler-20.03-LTS-SP4：否
10.openEuler-22.03-LTS-SP3:否
11.openEuler-24.03-LTS-SP1：否

原因说明:
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题导致）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题导致 golang1.17.3）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题导致 golang1.17.3）
5.openEuler-24.03-LTS(3.4.14):不受影响（golang版本对应1.21.4）
6.openEuler-24.03-LTS-Next(3.4.14):不受影响（golang版本对应1.21.4）
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题导致 golang1.17.3）
8.master(3.4.14):不受影响
9.openEuler-20.03-LTS-SP4:受影响（golang版本问题导致）
10.openEuler-22.03-LTS-SP3:受影响（golang版本问题导致）
11.openEuler-24.03-LTS-SP1：不受影响

@running-tortoise 4.受影响版本排查(受影响/不受影响)=> 没有分析或未按正确格式填写，涉及分支: [openEuler-24.03-LTS-SP1 openEuler-20.03-LTS-SP4 openEuler-22.03-LTS-SP3]

影响性分析说明：
HTTP和MIME头部解析在处理输入时，即使这些输入很小，也可能分配大量的内存，这可能导致拒绝服务攻击。特定的非典型输入数据模式能够使用于解析HTTP和MIME头部的通用函数分配比实际存储解析后的头部所需更多的内存。攻击者可以利用这种行为，通过发送小的请求使HTTP服务器分配大量内存，从而可能导致内存耗尽和拒绝服务。修复之后，头部解析现在能够正确地仅分配存储解析后的头部所需的内存量。这一改进有助于防止由于恶意构造的请求导致的不必要的内存分配，从而减少因内存耗尽造成的拒绝服务风险。上游修复方案:https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c，golang组件版本问题导致，openEuler master和24.03相关分支对应的golang为1.21.4不受影响，20.03和22.03相关分支受影响。
openEuler评分：
7.5
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响)：
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题）
5.openEuler-24.03-LTS(3.4.14):不受影响
6.openEuler-24.03-LTS-Next(3.4.14):不受影响
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题）
8.master(3.4.14):不受影响
9.openEuler-24.03-LTS-SP1:不受影响
10.openEuler-20.03-LTS-SP4：受影响（golang版本问题）
11.openEuler-22.03-LTS-SP3：受影响(golang版本问题)

修复是否涉及abi变化(是/否)：
1.openEuler-20.03-LTS-SP1:否
2.openEuler-20.03-LTS-SP3(3.4.14):否
3.openEuler-22.03-LTS(3.4.14):否
4.openEuler-22.03-LTS-SP1(3.4.14):否
5.openEuler-24.03-LTS(3.4.14):否
6.openEuler-24.03-LTS-Next(3.4.14):否
7.openEuler-22.03-LTS-SP4(3.4.14):否
8.master(3.4.14):否
9.openEuler-24.03-LTS-SP1:否
10.openEuler-20.03-LTS-SP4:否
11.openEuler-22.03-LTS-SP3:否

原因说明:
1.openEuler-20.03-LTS-SP1:不受影响，无etcd组件
2.openEuler-20.03-LTS-SP3(3.4.14):受影响（golang版本问题）
3.openEuler-22.03-LTS(3.4.14):受影响（golang版本问题）
4.openEuler-22.03-LTS-SP1(3.4.14):受影响（golang版本问题）
5.openEuler-24.03-LTS(3.4.14):不受影响
6.openEuler-24.03-LTS-Next(3.4.14):不受影响
7.openEuler-22.03-LTS-SP4(3.4.14):受影响（golang版本问题）
8.master(3.4.14):不受影响
9.openEuler-24.03-LTS-SP1:不受影响
10.openEuler-20.03-LTS-SP4：受影响（golang版本问题）
11.openEuler-22.03-LTS-SP3：受影响(golang版本问题)

@pixiake 经过 cve-manager 解析, 已分析的内容如下表所示:

状态	分析项目	内容
已分析	1.影响性分析说明	HTTP和MIME头部解析在处理输入时，即使这些输入很小，也可能分配大量的内存，这可能导致拒绝服务攻击。特定的非典型输入数据模式能够使用于解析HTTP和MIME头部的通用函数分配比实际存储解析后的头部所需更多的内存。攻击者可以利用这种行为，通过发送小的请求使HTTP服务器分配大量内存，从而可能导致内存耗尽和拒绝服务。修复之后，头部解析现在能够正确地仅分配存储解析后的头部所需的内存量。这一改进有助于防止由于恶意构造的请求导致的不必要的内存分配，从而减少因内存耗尽造成的拒绝服务风险。上游修复方案:https://github.com/golang/go/commit/3991f6c41c7dfd167e889234c0cf1d840475e93c，golang组件版本问题导致，openEuler master和24.03相关分支对应的golang为1.21.4不受影响，20.03和22.03相关分支受影响。
已分析	2.openEulerScore	7.5
已分析	3.openEulerVector	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
已分析	4.受影响版本排查	openEuler-20.03-LTS-SP3:受影响,openEuler-22.03-LTS:受影响,openEuler-22.03-LTS-SP1:受影响,openEuler-22.03-LTS-SP4:受影响,openEuler-20.03-LTS-SP4:受影响,openEuler-22.03-LTS-SP3:受影响,openEuler-20.03-LTS-SP1:不受影响,openEuler-24.03-LTS:不受影响,openEuler-24.03-LTS-Next:不受影响,master:不受影响,openEuler-24.03-LTS-SP1:不受影响
已分析	5.是否涉及abi变化	openEuler-20.03-LTS-SP1:否,openEuler-20.03-LTS-SP3:否,openEuler-22.03-LTS:否,openEuler-22.03-LTS-SP1:否,openEuler-24.03-LTS:否,openEuler-24.03-LTS-Next:否,openEuler-22.03-LTS-SP4:否,master:否,openEuler-24.03-LTS-SP1:否,openEuler-20.03-LTS-SP4:否,openEuler-22.03-LTS-SP3:否
已分析	6.原因说明

请确认分析内容的准确性, 确认无误后, 您可以进行后续步骤, 否则您可以继续分析.

src-openEuler/etcd

内容风险标识

评论 (9)

src-openEuler/etcd .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2023-24534

评论 (9)

搜索帮助

src-openEuler/etcd