漏洞概览
6月13日,相关方发布了安全公告,修复了 i 系统的 HTTP Server 服务中发现的请求走私和缓冲区溢出漏洞。以下为详细信息。
漏洞要点
1. CVE-2022-22720 CVSS 7.3 严重级别:高
描述:在处理丢弃请求正文时若出现错误,可能导致无法正确关闭入站连接,从而使攻击者能够进行 HTTP 请求走私。这可能会污染缓存、绕过某些防护并引发 XSS 攻击。
2. CVE-2022-22721 CVSS 7.3 严重级别:高
描述:若将 LiMITXMLrequestbody 设置为允许超过 350MB 的请求正文,可能导致缓冲区溢出。远程攻击者有机会执行任意代码或使应用程序崩溃。
受影响的版本
i 系统的 7.2、7.3、7.4、7.5 版本均受影响。
解决措施
针对各版本的修补信息如下:
i 系统 7.2 版本应用 SI79640 补丁可修复:
i 系统 7.3 版本应用 SI79641 补丁可修复:
i 系统 7.4 版本应用 SI80014 补丁可修复:
i 系统 7.5 版本应用 SF99952 补丁可修复:
