idm:DL1 security, bug fix, and enhancement update

エラータID: AXSA:2021-1595:01

リリース日: 
2021/03/19 Friday - 10:02
題名: 
idm:DL1 security, bug fix, and enhancement update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- jQuery には、クロスドメインにおける Ajax のリクエストが
dataType オプション無しで実行されるとき、
クロスサイトスクリプティングの脆弱性があります。(CVE-2015-9251)

- Bootstrap の data-target 属性 には、
クロスサイトスクリプティングの脆弱性があります。(CVE-2016-10735)

- Bootstrap の Collapse における data-parent 属性には、
クロスサイトスクリプティングの脆弱性があります。(CVE-2018-14040)

- Bootstrap の Tooltip における data-container プロパティーには、
クロスサイトスクリプティングの脆弱性があります。(CVE-2018-14042)

- Bootstrap の Tooltip における data-viewport 属性には、
クロスサイトスクリプティングの脆弱性があります。(CVE-2018-20676)

- Bootstrap の affix の設定におけるターゲットプロパティーには、
クロスサイトスクリプティングの脆弱性があります。(CVE-2018-20677)

- jQuery には、オブジェクトプロトタイプ汚染の問題があり、
jQuery.extend(true, {}, ...) を正しく扱わない脆弱性があります。(CVE-2019-11358)

- Bootstrap の Tooltip あるいは Popover における data-template 属性には、
クロスサイトスクリプティングの脆弱性があります。(CVE-2019-8331)

- jQuery には、たとえサニタイズされていたとしても、信頼されない
ソースからDOM Manipulation メソッド(.html() や .append() など)への
HTML を渡すことで、信頼されないコードを実行する可能性のある
脆弱性があります。(CVE-2020-11022)

- ipa には、 1,000,000 文字以上の長いパスワードをサーバーに
送付することで、パスワードのハッシュ化の際にメモリやCPUを大量に
消費してしまい、サービス拒否を引き起こし、ウェブサイトからの返答が
なくなってしまう脆弱性があります。(CVE-2020-1722)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-9251
jQuery before 3.0.0 is vulnerable to Cross-site Scripting (XSS) attacks when a cross-domain Ajax request is performed without the dataType option, causing text/javascript responses to be executed.
CVE-2016-10735
In Bootstrap 3.x before 3.4.0 and 4.x-beta before 4.0.0-beta.2, XSS is possible in the data-target attribute, a different vulnerability than CVE-2018-14041.
CVE-2018-14040
In Bootstrap before 4.1.2, XSS is possible in the collapse data-parent attribute.
CVE-2018-14042
In Bootstrap before 4.1.2, XSS is possible in the data-container property of tooltip.
CVE-2018-20676
In Bootstrap before 3.4.0, XSS is possible in the tooltip data-viewport attribute.
CVE-2018-20677
In Bootstrap before 3.4.0, XSS is possible in the affix configuration target property.
CVE-2019-11358
jQuery before 3.4.0, as used in Drupal, Backdrop CMS, and other products, mishandles jQuery.extend(true, {}, ...) because of Object.prototype pollution. If an unsanitized source object contained an enumerable __proto__ property, it could extend the native Object.prototype.
CVE-2019-8331
In Bootstrap before 3.4.1 and 4.3.x before 4.3.1, XSS is possible in the tooltip or popover data-template attribute.
CVE-2020-11022
In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.
CVE-2020-1722
A flaw was found in all ipa versions 4.x.x through 4.8.0. When sending a very long password (>= 1,000,000 characters) to the server, the password hashing process could exhaust memory and CPU leading to a denial of service and the website becoming unresponsive. The highest threat from this vulnerability is to system availability.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. bind-dyndb-ldap-11.3-1.module+el8+1225+5e818946.src.rpm
    MD5: 70c8d41fc0ad1a46fccced6e852894eb
    SHA-256: c90ac8d7d9ab2bb10c9e0e0bcaf154d9871ecd6675e8309bada786502c0156cb
    Size: 366.02 kB
  2. custodia-0.6.0-3.module+el8+1225+5e818946.src.rpm
    MD5: cf1af2541b3786cd2d3d8a2e338fea34
    SHA-256: 32baf236e7ac0757ddb669c53597547f42dd044dda2b236679e7ea460090b5d1
    Size: 144.68 kB
  3. ipa-healthcheck-0.4-6.module+el8+1225+5e818946.src.rpm
    MD5: dfca5cc5e9537cd0c453a78621565dfe
    SHA-256: 040d274e0a9a2584db33f67b8a8d770a1fee954e15354c4d4dafd71061e7e800
    Size: 91.87 kB
  4. ipa-4.8.7-14.0.1.module+el8+1225+5e818946.src.rpm
    MD5: 7585f4ce431f93eec98c07b15e083ffa
    SHA-256: cc0e419301c0e2292464647330d64cf27ae6bc227a8ec07ee1a230c53033b381
    Size: 12.32 MB
  5. opendnssec-2.1.6-2.module+el8+1225+5e818946.src.rpm
    MD5: fbcde09a3975030b4b959a9775b1b9e2
    SHA-256: 265519dcc867676ce5adbc80c082f6cb84e945e837e77a9603cd47d7f03776e5
    Size: 1.13 MB
  6. python-jwcrypto-0.5.0-1.module+el8+1225+5e818946.src.rpm
    MD5: 98a0976fe268dd57d3a5f7bc906e5075
    SHA-256: 58cd8407f479fb8ba74745018aca5d2ab4fe3a1184c243353b58f231d9909d55
    Size: 76.40 kB
  7. python-kdcproxy-0.4-5.module+el8+1225+5e818946.src.rpm
    MD5: a1c79c62c66093a0e57d256116b0ee06
    SHA-256: 79ddd8c6b5e37c19468b430505156580334c07024604a84e6d13e32de3cdf056
    Size: 36.24 kB
  8. python-qrcode-5.1-12.module+el8+1225+5e818946.src.rpm
    MD5: c3f7213c8e33a0fc28bbe0876b2f303e
    SHA-256: bb57d6c561a541d47dbb9e20b47239443e2abaaf1b4855f4f1b94e34dec0159d
    Size: 33.38 kB
  9. python-yubico-1.3.2-9.module+el8+1225+5e818946.src.rpm
    MD5: 174f3de850b9bd0f30ea8a1808a01c01
    SHA-256: ec1ec73c566aabd8f111479541216d1814c0626d0a16547dfc47b6962cc9dc45
    Size: 50.70 kB
  10. pyusb-1.0.0-9.module+el8+1225+5e818946.src.rpm
    MD5: 29b2d58eb9718609cf7c178e8fb4ae37
    SHA-256: 5f81187f61e9ae62d5ed5ed67f9d5b0b4c801b9f6cbb3f3a2bfd48a276157973
    Size: 78.83 kB
  11. slapi-nis-0.56.5-4.module+el8+1225+5e818946.src.rpm
    MD5: ddc505cbf48de44eacb2c34048bfb148
    SHA-256: 0fa5f02b6f89178ebbc9295d83577dcee2d4afb340f8326105db9e62dee8ac52
    Size: 632.38 kB
  12. softhsm-2.6.0-3.module+el8+1225+5e818946.src.rpm
    MD5: 389e4f758f84a292a693453a8402b3f8
    SHA-256: e2389fd5944dedf7fb47ab60f5ec83d91a834be9402139856d6ec2d07a18b45f
    Size: 1.03 MB

Asianux Server 8 for x86_64
  1. bind-dyndb-ldap-11.3-1.module+el8+1225+5e818946.x86_64.rpm
    MD5: ec16b108d9df89f4341d750b346548cb
    SHA-256: 505ba6500471682059f6f1152eece7483800aca8944a0f4018acd7eae756e766
    Size: 129.06 kB
  2. bind-dyndb-ldap-debugsource-11.3-1.module+el8+1225+5e818946.x86_64.rpm
    MD5: 2ef0d88bcce334f1e5370cc763ed8548
    SHA-256: 02814b0a3da117c776a4fe58203369ceb65f52270ebe5f3f7f1334fd69201479
    Size: 113.42 kB
  3. custodia-0.6.0-3.module+el8+1225+5e818946.noarch.rpm
    MD5: 58a3fa66bcff7beab1aa132787640bf6
    SHA-256: 6e2d3b31c315592fe2cb76a3da6d08552e96702c450c190c459af3372a41c96d
    Size: 32.30 kB
  4. python3-custodia-0.6.0-3.module+el8+1225+5e818946.noarch.rpm
    MD5: db18540c3db73b485bced28241520ff7
    SHA-256: 6e76593948c49529061fc4672b27b4481644727ce3a5566d9197b309ba1b6b10
    Size: 120.23 kB
  5. ipa-healthcheck-0.4-6.module+el8+1225+5e818946.noarch.rpm
    MD5: db8c019e274724ad9cb6a61c8ef6f38b
    SHA-256: ba5561ecd7ec6cee5c9ee288ca8953b859362d31033e0c84c4dc5072fce2613b
    Size: 84.26 kB
  6. ipa-healthcheck-core-0.4-6.module+el8+1225+5e818946.noarch.rpm
    MD5: cedb941c71f13c8d627e9fe45e73ac01
    SHA-256: 0db618fc160bb8d993a00149ab7448a999be61f8bfc36e679f782011a16209c9
    Size: 47.95 kB
  7. ipa-client-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: 40c0e9a3921c9df8cdba47b5db89c7b1
    SHA-256: 1706d79da863dfd28556d669456d1174ff26e88994ceb263606919b82c274e0f
    Size: 271.31 kB
  8. ipa-client-common-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: e9af53193dbaf6e441c1e2b2438c9ef3
    SHA-256: ee140297ba81d6e398aa2a7796e7d7558cd23e7e2b87f60058f5b80190fe04e4
    Size: 177.52 kB
  9. ipa-client-epn-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: e8ca91e7cb07deada9d6891a8174657e
    SHA-256: f93dcfb6b3557c7e2280f6bf3b43db5f5404fcde230980fdc89926251e489791
    Size: 175.69 kB
  10. ipa-client-samba-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: ac72168edabdb9bccc678e2cf3062a7e
    SHA-256: 93245cb67dd3f2fe0f8e7cb36e209875d4b9b24f4ba3f929682e0eba2562cb77
    Size: 172.34 kB
  11. ipa-common-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: 10370cfcce0a2fd5f8e8d0c317dd4ae0
    SHA-256: 632850d0c39769e6c91634366bfd4baeb07fa9eeb2fb0fd9d259fbd1a1b26df9
    Size: 743.42 kB
  12. ipa-debugsource-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: f2bb2df919efd851fdb93e4cfef0f9f1
    SHA-256: cb4ae5de8312693267462366609f3831e1cd58537a3e7c45c976c1aaaed21c37
    Size: 469.74 kB
  13. ipa-python-compat-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: 123b568f82aa4f6ff9ac4f4d05815fdf
    SHA-256: 393a0e35f48e32cce3e438c36a3dd3e18d0bbdbc9b884a4d5b8c7412e49dccf5
    Size: 170.15 kB
  14. ipa-selinux-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: 301d8de2b1b4559737c2fd042954cb18
    SHA-256: 8badf401f5cdcc522cf74adcb0719f11c06145be8743475c3f93e3b3b9821a8f
    Size: 170.48 kB
  15. ipa-server-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: 78316a8d6cd39243ea67f01c9d1ad47c
    SHA-256: 7dd72cf01b8263db3958e69023231c08d4732fd127f84e67f1ed2f64e8aa02b8
    Size: 522.47 kB
  16. ipa-server-common-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: c861772ce988b19f5c3e4a4db760d0ba
    SHA-256: faf797785179a98560b54512cf15b81dca1099df28646e65981536f09b4024fe
    Size: 603.70 kB
  17. ipa-server-dns-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: 1cc2e697213f308ae83f16542c921378
    SHA-256: 0c81d7bc6227d16d3c05ed64f59a0cda6aa76cc940ee2cdf33af2c25af066472
    Size: 186.01 kB
  18. ipa-server-trust-ad-4.8.7-14.0.1.module+el8+1225+5e818946.x86_64.rpm
    MD5: 1bf904ce008d4a550409d3e560eacf85
    SHA-256: 0983bd44177eef00df8917d80eff6fd52f41a70a582d3995845c45ff9e155d7f
    Size: 270.08 kB
  19. python3-ipaclient-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: 826f534e88c59d4d9660198425b18683
    SHA-256: 24a1b2b01e6be7d63a6bd731080a45587e746309a8cd1732e261bff9a0d182df
    Size: 679.64 kB
  20. python3-ipalib-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: e0bf90fe2529aca4c833db26fc63fdf1
    SHA-256: ed6ddb85636883e68410ed65ff82341256b00fbb4919fb3212c613bd985acc27
    Size: 718.54 kB
  21. python3-ipaserver-4.8.7-14.0.1.module+el8+1225+5e818946.noarch.rpm
    MD5: e4b104b07b950a0adbf9e218bf05d862
    SHA-256: 86b6c94f4013dc075485de8ee32d00e67125ab2399b7d5e0a99a92e980387b5d
    Size: 1.52 MB
  22. opendnssec-2.1.6-2.module+el8+1225+5e818946.x86_64.rpm
    MD5: 63943d817824fdbe14ab7cda5d26bc12
    SHA-256: 5cddd69d495a1970f82d12d795d47f2d4472798e6c635cf8b7b7bc609b7152fa
    Size: 469.98 kB
  23. opendnssec-debugsource-2.1.6-2.module+el8+1225+5e818946.x86_64.rpm
    MD5: 51f06f0fda1063621f89fa152d9f76f7
    SHA-256: 9fd978d24185be167b75c6c2ec19638b49b7a2269dd030864951b96b377c526b
    Size: 403.54 kB
  24. python3-jwcrypto-0.5.0-1.module+el8+1225+5e818946.noarch.rpm
    MD5: 6200a4c9573306bcd7ab0ecfaa030039
    SHA-256: 955e8b75b6ec342ade869752ccbd86c72c97706ee4ea16990736c9409dff2bd7
    Size: 64.38 kB
  25. python3-kdcproxy-0.4-5.module+el8+1225+5e818946.noarch.rpm
    MD5: e97be6c1da094ec85b69bb0c8ca76cc5
    SHA-256: 7739e15851e0b8338b04610f76a297d8305fecc8d3a20f609a0a9143d1ff6971
    Size: 38.03 kB
  26. python3-qrcode-5.1-12.module+el8+1225+5e818946.noarch.rpm
    MD5: ea2c636d9f60a44c8c228325a15b0064
    SHA-256: 5b36f3c9adeb4722ec82aae7f6b87402c229a88c01485e536423073ebb2da1cd
    Size: 16.33 kB
  27. python3-qrcode-core-5.1-12.module+el8+1225+5e818946.noarch.rpm
    MD5: adc951559a5c5d0a240807ea83ce57da
    SHA-256: 3592528173bdfac0551c20f5661deb0eab77fb17b1e3f75c6c73db716bf95873
    Size: 44.53 kB
  28. python3-yubico-1.3.2-9.module+el8+1225+5e818946.noarch.rpm
    MD5: 0490d7032a183ecdcc7a19f942d5bc67
    SHA-256: 49e7d3e9a777714145722f0b5c29887f562b0c5aca96cd79d1db62d6c0f9d6e1
    Size: 62.20 kB
  29. python3-pyusb-1.0.0-9.module+el8+1225+5e818946.noarch.rpm
    MD5: d9dbc6ee5003f62433338734b3ea45b3
    SHA-256: 350fc92468f9ae2230374d7281e0ba3f441c01f3def6b6bbe8a49cbc02765c6b
    Size: 86.79 kB
  30. slapi-nis-0.56.5-4.module+el8+1225+5e818946.x86_64.rpm
    MD5: 0a09744c69dbfada93a9a0e905e251c5
    SHA-256: 559f893474c48abfa9efbed7f0a11a9595d5ceb007fa7aaf93d7a937178d9c80
    Size: 156.13 kB
  31. slapi-nis-debugsource-0.56.5-4.module+el8+1225+5e818946.x86_64.rpm
    MD5: 0c97307f854b3052349d995ab3cc1130
    SHA-256: 9c067f7231f0c0b764906e36c1136bc268b35e9cf3a735b7280c3591040ddc87
    Size: 131.40 kB
  32. softhsm-2.6.0-3.module+el8+1225+5e818946.x86_64.rpm
    MD5: 1690b8b38496bc7582a99889686bb6c0
    SHA-256: d1378ae8fd179019e6a88ee059982f7b689ce1e02a86bad0894d784b38609017
    Size: 429.62 kB
  33. softhsm-debugsource-2.6.0-3.module+el8+1225+5e818946.x86_64.rpm
    MD5: 8e60fc3d4f42873601494cf5b985c95c
    SHA-256: 6c443ebb9f089f38983236a2bc73a9724f8cdac1f6933823915112240044e76b
    Size: 203.23 kB
  34. softhsm-devel-2.6.0-3.module+el8+1225+5e818946.x86_64.rpm
    MD5: a43970d83c325001e8dd7486fa77a84d
    SHA-256: c534e312ff1690c742929db4a5a026eedb991990621ecd9ecc568ab80a578b43
    Size: 20.21 kB