grafana-pcp-3.2.0-2.el8

エラータID: AXSA:2022-4370:02

リリース日: 
2022/12/09 Friday - 09:37
題名: 
grafana-pcp-3.2.0-2.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- go-toolset の net/http モジュールには、HTTP / 1
クライアントとして利用した場合に不正な
Transfer - Encoding ヘッダを受信してしまう問題が
あるため、リモートの攻撃者により、不正なヘッダの
受信を拒否しない中間サーバーを介して、HTTP スマグリング
攻撃を可能とする脆弱性が存在します。(CVE-2022-1705)

- io/fs モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)

- compress/gzip モジュールの Reader.Read 関数には、
制限のない再帰実行によりスタックが枯渇する問題が
あるため、リモートの攻撃者により、連結された
0 バイトの圧縮ファイルを大量に含むアーカイブファイルを
介して、パニックによるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-30631)

- path/filepath モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30632)

- encoding/gob モジュールの Decoder.Decode 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、深くネストされた構造を持つ
メッセージを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30635)

- net/http モジュールには、リバースプロキシサーバーが
X - Forwarded - For ヘッダーにクライアント IP を
設定してしまう問題があるため、X - Forwarded - For
ヘッダに nil 値を含む Request.Header マップを用いた
httputil.ReverseProxy.ServeHTTP 関数の呼び出しを介して、
クライアントの IP アドレスの不正な開示を可能とする
脆弱性が存在します。(CVE-2022-32148)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-pcp-3.2.0-2.el8.src.rpm
    MD5: 51a4b8e6b563eac8f5a33dfc170b8154
    SHA-256: 5fd20e8a24351787eb12eb66991b205ba6c3c3de8cc94b004aec336bdb65c600
    Size: 50.46 MB

Asianux Server 8 for x86_64
  1. grafana-pcp-3.2.0-2.el8.x86_64.rpm
    MD5: c857d0a312eb8af0404ffe2c8efb58db
    SHA-256: 56c224fb31b495cb20d9218b8b45d9ca218b615bd2bbafc2e193b030438333e4
    Size: 9.50 MB