grafana-pcp-3.2.0-3.el9

エラータID: AXSA:2023-4824:01

リリース日: 
2023/01/19 Thursday - 09:31
題名: 
grafana-pcp-3.2.0-3.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- go-toolset の net/http モジュールには、HTTP/1 クライアントとして
利用した場合に不正な Transfer-Encoding ヘッダを受信してしまう
問題があるため、リモートの攻撃者により、不正なヘッダの受信を
拒否しない中間サーバーを介して、HTTP スマグリング攻撃を可能と
する脆弱性が存在します。(CVE-2022-1705)

- io/fs モジュールの Glob 関数には、制限のない再帰実行によりスタック
が枯渇する問題があるため、リモートの攻撃者により、大量のパス
セパレータを含むパスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)

- compress/gzip モジュールの Reader.Read 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの攻撃者
により、連結された 0 バイトの圧縮ファイルを大量に含むアーカイブ
ファイルを介して、パニックによるサービス拒否攻撃を可能とする脆弱性
が存在します。(CVE-2022-30631)

- path/filepath モジュールの Glob 関数には、制限のない再帰実行に
よりスタックが枯渇する問題があるため、リモートの攻撃者により、
大量のパスセパレータを含むパスを介して、パニックによるサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-30632)

- encoding/gob モジュールの Decoder.Decode 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの攻撃者
により、深くネストされた構造を持つメッセージを介して、パニックに
よるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30635)

- net/http モジュールには、リバースプロキシサーバーが
X-Forwarded-For ヘッダーにクライアント IP を設定してしまう問題が
あるため、X-Forwarded-For ヘッダに nil 値を含む Request.Header
マップを用いた httputil.ReverseProxy.ServeHTTP 関数の呼び出しを
介して、クライアントの IP アドレスの不正な開示を可能とする脆弱性
が存在します。(CVE-2022-32148)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-1705
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
CVE-2022-30630
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
CVE-2022-30631
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
CVE-2022-30632
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
CVE-2022-30635
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
CVE-2022-32148
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-pcp-3.2.0-3.el9.src.rpm
    MD5: c73efe12907be8a94719ce8dc8ef7de3
    SHA-256: 05de369aa0ebeb9915992796206b3c40543c6984fd0d40d221b3c8f74fb77a50
    Size: 50.46 MB

Asianux Server 9 for x86_64
  1. grafana-pcp-3.2.0-3.el9.x86_64.rpm
    MD5: d0b5ce669e1622e0a3164b1caadc025b
    SHA-256: 05a2e2d6b2fcbb358d4560b4df996e5dda8dc304be9b527593e7dc23c34c8ca3
    Size: 9.19 MB