从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Searching Opencast may cause a denial of service - 发布者:ikiesow - 漏洞编号:GHSA-jh6x-7xfg-9cq2 - 发布日期:3 days ago 2. 受影响的版本: - 受影响的版本:<13.10, <14.3 - 已修复的版本:13.10, 14.3, follow on patch in 16.7 3. 描述: - Opencast的Elasticsearch集成可能生成与先前可接受的搜索查询相关的语法错误的Elasticsearch查询。从Opencast版本11.4和更新版本开始,Elasticsearch查询会重试配置的次数,以处理与Elasticsearch连接的临时丢失。这些无效的查询会失败,导致重试机制立即重新查询相同的语法错误查询,导致日志大小急剧增加,可能在某些情况下导致服务中断。 4. 影响: - 导致日志大小急剧增加,可能在某些情况下导致服务中断。 5. 补丁: - Opencast 13.10和Opencast 14.3包含补丁(#5150, and #5033),解决基础问题,Opencast 16.7包含更改,使admin UI和外部API之间的搜索行为一致。强烈建议尽快升级到13.10或14.3版本,如果运行的版本早于13.10或14.3。默认情况下,需要ROLE_ADMIN或ROLE_API_SERIES_VIEW角色才能触发问题,否则问题查询是无害的。 6. 工作绕过: - 未识别到任何工作绕过方法。 7. 参考: - 预防无限循环问题的补丁:#5150 - 用户输入的清理:#5033 8. 联系信息: - 可以在issue tracker中提出问题或评论:our issue tracker - 通过电子邮件联系:security@opencast.org 9. 信用: - 该漏洞的发现者是Adilagha Aliyev,联系方式为:adilagha.aliyev@gmail.com