1.公告詳情：

• 2.8之前的pound允許HTTP請求走私，這是CVE-2016-10711的相關問題。（CVE-2018-21245）

• Apsis Pound 2.8a之前版本中存在安全漏洞。攻擊者可借助特制的包頭利用該漏洞實施走私請求攻擊。（CVE-2016-10711）

2. 受影響的操作系統：

• 銀河麒麟桌面操作系統V4

• 銀河麒麟桌面操作系統V4 SP1

• 銀河麒麟桌面操作系統V4 SP2

• 銀河麒麟桌面操作系統V4 SP3

• 銀河麒麟桌面操作系統V4 SP4

• 銀河麒麟桌面操作系統V10

• 銀河麒麟桌面操作系統V10 SP1

• 銀河麒麟服務器操作系統V4

• 銀河麒麟服務器操作系統V4 SP1

• 銀河麒麟服務器操作系統V4 SP2

• 銀河麒麟服務器操作系統V4 SP3

• 銀河麒麟服務器操作系統V4 SP4

3. 修復版本

軟件包：pound

pound - 2.6-6.1kord0.1（V4、V10）

4. 受影響的軟件包

• 銀河麒麟桌面操作系統V4桌面版     pound

• 銀河麒麟桌面操作系統V10桌面版    pound

5.修復方法

方法一：配置源進行升級安裝

         打開軟件包源配置文件，根據倉庫地址進行修改。

                4.0.2: http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse

                4.0.2-sp1: http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

                4.0.2-sp2: http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

                4.0.2-sp3: http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

                4.0.2-sp4: http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

                10.0: http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

        配置完成后執行更新命令進行升級   $sudo apt update

方法二：下載安裝包進行升級安裝

        通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的組件包列表 升級相關的組件包。  $dpkg -i Packagelists

6. 軟件包下載地址

• 麒麟操作系統V10桌面版、V4

  X86_64軟件包下載地址：

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/p/pound/pound_2.6-6.1kord0.1_amd64.deb

  arm64軟件包下載地址：

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/universe/p/pound/pound_2.6-6.1kord0.1_arm64.deb