grafana-pcp-3.2.0-2.el8

エラータID: AXSA:2022-4370:02

リリース日: 
2022/12/09 Friday - 09:37
題名: 
grafana-pcp-3.2.0-2.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- go-toolset の net/http モジュールには、HTTP / 1
クライアントとして利用した場合に不正な
Transfer - Encoding ヘッダを受信してしまう問題が
あるため、リモートの攻撃者により、不正なヘッダの
受信を拒否しない中間サーバーを介して、HTTP スマグリング
攻撃を可能とする脆弱性が存在します。(CVE-2022-1705)

- io/fs モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)

- compress/gzip モジュールの Reader.Read 関数には、
制限のない再帰実行によりスタックが枯渇する問題が
あるため、リモートの攻撃者により、連結された
0 バイトの圧縮ファイルを大量に含むアーカイブファイルを
介して、パニックによるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-30631)

- path/filepath モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30632)

- encoding/gob モジュールの Decoder.Decode 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、深くネストされた構造を持つ
メッセージを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30635)

- net/http モジュールには、リバースプロキシサーバーが
X - Forwarded - For ヘッダーにクライアント IP を
設定してしまう問題があるため、X - Forwarded - For
ヘッダに nil 値を含む Request.Header マップを用いた
httputil.ReverseProxy.ServeHTTP 関数の呼び出しを介して、
クライアントの IP アドレスの不正な開示を可能とする
脆弱性が存在します。(CVE-2022-32148)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-1705
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
CVE-2022-30630
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
CVE-2022-30631
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
CVE-2022-30632
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
CVE-2022-30635
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
CVE-2022-32148
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-pcp-3.2.0-2.el8.src.rpm
    MD5: 51a4b8e6b563eac8f5a33dfc170b8154
    SHA-256: 5fd20e8a24351787eb12eb66991b205ba6c3c3de8cc94b004aec336bdb65c600
    Size: 50.46 MB

Asianux Server 8 for x86_64
  1. grafana-pcp-3.2.0-2.el8.x86_64.rpm
    MD5: c857d0a312eb8af0404ffe2c8efb58db
    SHA-256: 56c224fb31b495cb20d9218b8b45d9ca218b615bd2bbafc2e193b030438333e4
    Size: 9.50 MB