从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:PushSessionCacheFilter can cause remote DoS attacks 2. 发布者:joakime 3. 漏洞编号:GHSA-r7m4-f9h5-gr79 4. 发布日期:昨天 5. 严重性:低(Low) 6. CVSS v3 分数:3.1 / 10 7. 受影响的版本: - >=10.0.0, =11.0.0, =12.0.0, <=12.0.3 8. 已修复的版本: - 10.0.18 - 11.0.18 - 12.0.4 9. 描述:Jetty PushSessionCacheFilter 可以被未授权用户利用,通过耗尽服务器内存来发起远程 DoS 攻击。 10. 影响:Jetty PushSessionCacheFilter 可以被未授权用户利用,通过耗尽服务器内存来发起远程 DoS 攻击。 11. 补丁: - #9715 - #9716 12. 工作绕过: - 不使用 PushCacheFilter。Push 已经被各种 IETF 规范所废弃,早期提示响应应该使用。 - 减少未授权会话的空闲超时,可以减少会话在内存中停留的时间。 - 配置会话缓存以使用 session passivation,这样会话将不存储在内存中,而是存储在数据库或文件系统中,这可能具有比内存更大的容量。 13. 参考: - #10756 - #10755 14. 链接:Jetty项目