golang-1.17.12-1.el9, go-toolset-1.17.12-1.el9

エラータID: AXSA:2022-4035:01

リリース日: 
2022/11/15 Tuesday - 07:46
題名: 
golang-1.17.12-1.el9, go-toolset-1.17.12-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- compress/gzip モジュールの Reader.Read 関数には、制限のない再帰
実行によりスタックが枯渇する問題があるため、リモートの攻撃者に
より、連結された 0 バイトの圧縮ファイルを大量に含むアーカイブファ
イルを介して、パニックによるサービス拒否攻撃を可能とする脆弱性が
存在します。(CVE-2022-30631)

- go-toolset の net/http モジュールには、HTTP/1 クライアントとして
利用した場合に不正な Transfer-Encoding ヘッダを受信してしまう問題
があるため、リモートの攻撃者により、不正なヘッダの受信を拒否
しない中間サーバーを介して、HTTP スマグリング攻撃を可能とする
脆弱性が存在します。(CVE-2022-1705)

- go/parser モジュールの Parse 関数には、制限のない再帰実行により
スタックが枯渇する問題があるため、任意の go 言語のコードを実行
できる攻撃者により、深くネストされた型や宣言が実装されたコード
の実行を介して、パニックによるサービス拒否攻撃を可能とする脆弱性
が存在します。(CVE-2022-1962)

- encoding/xml モジュールの Decoder.Skip 関数には、制限のない再帰
実行によりスタックが枯渇する問題があるため、リモートの攻撃者に
より、深くネストされた XML ドキュメントを介して、パニックによる
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-28131)

- io/fs モジュールの Glob 関数には、制限のない再帰実行によりスタック
が枯渇する問題があるため、リモートの攻撃者により、大量のパスセパ
レータを含むパスを介して、パニックによるサービス拒否攻撃を可能と
する脆弱性が存在します。(CVE-2022-30630)

- path/filepath モジュールの Glob 関数には、制限のない再帰実行により
スタックが枯渇する問題があるため、リモートの攻撃者により、大量の
パスセパレータを含むパスを介して、パニックによるサービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2022-30632)

- encoding/xml モジュールの Unmarshal 関数には、制限のない再帰実行
によりスタックが枯渇する問題があるため、リモートの攻撃者により、
any フィールドを持つネストされた構造体へのXML データの取り込み
処理を介して、パニックによるサービス拒否攻撃を可能とする脆弱性が
存在します。(CVE-2022-30633)

- encoding/gob モジュールの Decoder.Decode 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの攻撃者
により、深くネストされた構造を持つメッセージを介して、パニックに
よるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30635)

- net/http モジュールには、リバースプロキシサーバーが X-Forwarde
d-For ヘッダーにクライアント IP を設定してしまう問題があるため、
X-Forwarded-For ヘッダに nil 値を含む Request.Header マップを用
いた httputil.ReverseProxy.ServeHTTP 関数の呼び出しを介して、
クライアントの IP アドレスの不正な開示を可能とする脆弱性が存在
します。(CVE-2022-32148)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-1705
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
CVE-2022-1962
Uncontrolled recursion in the Parse functions in go/parser before Go 1.17.12 and Go 1.18.4 allow an attacker to cause a panic due to stack exhaustion via deeply nested types or declarations.
CVE-2022-28131
In Decoder.Skip in encoding/xml in Go before 1.17.12 and 1.18.x before 1.18.4, stack exhaustion and a panic can occur via a deeply nested XML document.
CVE-2022-30630
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
CVE-2022-30631
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
CVE-2022-30632
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
CVE-2022-30633
Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.
CVE-2022-30635
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
CVE-2022-32148
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. golang-1.17.12-1.el9.src.rpm
    MD5: 292d44f8888b5a865020a9246b61e4b7
    SHA-256: f7d8a160dfbca1ebe0da21ca13ebf12e5212bd3fe80438790d7de0f76da95a95
    Size: 21.02 MB
  2. go-toolset-1.17.12-1.el9.src.rpm
    MD5: f03fcee7dd44386adf8447191f5a3202
    SHA-256: 9893db2444d21b5cbbf1e82122a095a914fc59c45136e85f77eb3c730f46ec50
    Size: 10.04 kB

Asianux Server 9 for x86_64
  1. golang-1.17.12-1.el9.x86_64.rpm
    MD5: 903bb20b1e8bf4769adb958680555076
    SHA-256: 815fd0cddc64864c022169ae088a25601e6d4730624498840b0d880c87022c4b
    Size: 612.12 kB
  2. golang-bin-1.17.12-1.el9.x86_64.rpm
    MD5: 32e52a064069976992d3e9ddbe6002ce
    SHA-256: 35910d6357077be772b72b48d983c760632bb00df939d973b82418a6353e2b02
    Size: 89.74 MB
  3. golang-docs-1.17.12-1.el9.noarch.rpm
    MD5: 660694963ebaa8f4877b2fd0e5f38b79
    SHA-256: b1b45de8247ff7d47a3cc36c1d8d222d9ce8cc8fd6ee0dc4ce88eed0066882a3
    Size: 88.37 kB
  4. golang-misc-1.17.12-1.el9.noarch.rpm
    MD5: b2b82b29bb79d69d51a9c47f74de8f50
    SHA-256: 1807018fee8bfeea4a7752fd2d0c2b6bbbda07137d17524207aeed5d725db758
    Size: 769.37 kB
  5. golang-race-1.17.12-1.el9.x86_64.rpm
    MD5: 3bbb96db8651237331924ca6fa7a45f1
    SHA-256: 311b87d7faf3c91677ad97c74c904589b12d77ca1783a23a02a085a9b87fe905
    Size: 18.21 MB
  6. golang-src-1.17.12-1.el9.noarch.rpm
    MD5: 180886e7849cb375d6e1edadeb9419f8
    SHA-256: 9d7d6858b222fe99ef954ed8d1161d8acaa09281afa74a74907f24127e626200
    Size: 8.06 MB
  7. golang-tests-1.17.12-1.el9.noarch.rpm
    MD5: 34542172af35794a0398cefb763ffbdb
    SHA-256: 2539cb34167cbf1c67f4940faf8ad8b87267bc05d2fcd8835e176b6a3fa55f28
    Size: 7.05 MB
  8. go-toolset-1.17.12-1.el9.x86_64.rpm
    MD5: c295e4eb889a3355acb763108d560922
    SHA-256: 33aa177d54faaa91e32e7bc02879135b059234518a7c10450ba6bdf4a187f160
    Size: 8.22 kB