grafana-pcp-3.2.0-2.el8
エラータID: AXSA:2022-4370:02
以下項目について対処しました。
[Security Fix]
- go-toolset の net/http モジュールには、HTTP / 1
クライアントとして利用した場合に不正な
Transfer - Encoding ヘッダを受信してしまう問題が
あるため、リモートの攻撃者により、不正なヘッダの
受信を拒否しない中間サーバーを介して、HTTP スマグリング
攻撃を可能とする脆弱性が存在します。(CVE-2022-1705)
- io/fs モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)
- compress/gzip モジュールの Reader.Read 関数には、
制限のない再帰実行によりスタックが枯渇する問題が
あるため、リモートの攻撃者により、連結された
0 バイトの圧縮ファイルを大量に含むアーカイブファイルを
介して、パニックによるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-30631)
- path/filepath モジュールの Glob 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、大量のパスセパレータを含む
パスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30632)
- encoding/gob モジュールの Decoder.Decode 関数には、
制限のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、深くネストされた構造を持つ
メッセージを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30635)
- net/http モジュールには、リバースプロキシサーバーが
X - Forwarded - For ヘッダーにクライアント IP を
設定してしまう問題があるため、X - Forwarded - For
ヘッダに nil 値を含む Request.Header マップを用いた
httputil.ReverseProxy.ServeHTTP 関数の呼び出しを介して、
クライアントの IP アドレスの不正な開示を可能とする
脆弱性が存在します。(CVE-2022-32148)
パッケージをアップデートしてください。
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
N/A
SRPMS
- grafana-pcp-3.2.0-2.el8.src.rpm
MD5: 51a4b8e6b563eac8f5a33dfc170b8154
SHA-256: 5fd20e8a24351787eb12eb66991b205ba6c3c3de8cc94b004aec336bdb65c600
Size: 50.46 MB
Asianux Server 8 for x86_64
- grafana-pcp-3.2.0-2.el8.x86_64.rpm
MD5: c857d0a312eb8af0404ffe2c8efb58db
SHA-256: 56c224fb31b495cb20d9218b8b45d9ca218b615bd2bbafc2e193b030438333e4
Size: 9.50 MB