grafana-pcp-3.2.0-3.el9
エラータID: AXSA:2023-4824:01
以下項目について対処しました。
[Security Fix]
- go-toolset の net/http モジュールには、HTTP/1 クライアントとして
利用した場合に不正な Transfer-Encoding ヘッダを受信してしまう
問題があるため、リモートの攻撃者により、不正なヘッダの受信を
拒否しない中間サーバーを介して、HTTP スマグリング攻撃を可能と
する脆弱性が存在します。(CVE-2022-1705)
- io/fs モジュールの Glob 関数には、制限のない再帰実行によりスタック
が枯渇する問題があるため、リモートの攻撃者により、大量のパス
セパレータを含むパスを介して、パニックによるサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-30630)
- compress/gzip モジュールの Reader.Read 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの攻撃者
により、連結された 0 バイトの圧縮ファイルを大量に含むアーカイブ
ファイルを介して、パニックによるサービス拒否攻撃を可能とする脆弱性
が存在します。(CVE-2022-30631)
- path/filepath モジュールの Glob 関数には、制限のない再帰実行に
よりスタックが枯渇する問題があるため、リモートの攻撃者により、
大量のパスセパレータを含むパスを介して、パニックによるサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-30632)
- encoding/gob モジュールの Decoder.Decode 関数には、制限のない
再帰実行によりスタックが枯渇する問題があるため、リモートの攻撃者
により、深くネストされた構造を持つメッセージを介して、パニックに
よるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30635)
- net/http モジュールには、リバースプロキシサーバーが
X-Forwarded-For ヘッダーにクライアント IP を設定してしまう問題が
あるため、X-Forwarded-For ヘッダに nil 値を含む Request.Header
マップを用いた httputil.ReverseProxy.ServeHTTP 関数の呼び出しを
介して、クライアントの IP アドレスの不正な開示を可能とする脆弱性
が存在します。(CVE-2022-32148)
パッケージをアップデートしてください。
Acceptance of some invalid Transfer-Encoding headers in the HTTP/1 client in net/http before Go 1.17.12 and Go 1.18.4 allows HTTP request smuggling if combined with an intermediate server that also improperly fails to reject the header as invalid.
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
Uncontrolled recursion in Decoder.Decode in encoding/gob before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a message which contains deeply nested structures.
Improper exposure of client IP addresses in net/http before Go 1.17.12 and Go 1.18.4 can be triggered by calling httputil.ReverseProxy.ServeHTTP with a Request.Header map containing a nil value for the X-Forwarded-For header, which causes ReverseProxy to set the client IP as the value of the X-Forwarded-For header.
N/A
SRPMS
- grafana-pcp-3.2.0-3.el9.src.rpm
MD5: c73efe12907be8a94719ce8dc8ef7de3
SHA-256: 05de369aa0ebeb9915992796206b3c40543c6984fd0d40d221b3c8f74fb77a50
Size: 50.46 MB
Asianux Server 9 for x86_64
- grafana-pcp-3.2.0-3.el9.x86_64.rpm
MD5: d0b5ce669e1622e0a3164b1caadc025b
SHA-256: 05a2e2d6b2fcbb358d4560b4df996e5dda8dc304be9b527593e7dc23c34c8ca3
Size: 9.19 MB