关键漏洞信息 CVE编号: CVE-2025-9784 严重性: 重要安全 (Important) CVSS评分: 7.5 描述: 在Undertow中发现了一个漏洞,恶意客户端请求可以触发服务器端流重置,而不会触发错误计数器。这个问题被称为“NakedPseudo”攻击,允许恶意客户端通过反复创建单个HTTP/2流来增加内存使用量,从而导致资源耗尽。 影响: 这个漏洞与一个重要的安全问题有关,它很容易被利用,因为它不需要身份验证,并可能导致拒绝服务(DoS)。虽然一些DoS漏洞被归类为中等,但“NakedPseudo”攻击对所有受影响的系统都具有重大影响。该漏洞源于HTTP/2流重置处理中的实现弱点,允许未授权的客户端请求触发服务器上的新连接或现有连接的关闭,导致CPU和内存资源消耗,可能在短时间内生成大量TCP连接,迅速耗尽容量,影响所有合法客户端。 缓解措施: 目前没有可用的缓解措施符合Red Hat产品安全的要求。 受影响的包: - Red Hat JBoss A-MQ for Spring Boot 1 - Red Hat JBoss A-MQ 7.8.0 - Red Hat Data Grid 8.0 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 6 - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 9 - Red Hat Fuse 7 - Red Hat OpenShift Application Runtimes 4 - Red Hat OpenShift Application Runtimes 3