go-toolset:rhel8 delve-1.8.3-1.module+el8+1585+5d99e9d3, golang-1.18.9-1.module+el8+1585+5d99e9d3, go-toolset-1.18.9-1.module+el8+1585+5d99e9d3

エラータID: AXSA:2023-4877:01

リリース日: 
2023/01/30 Monday - 04:19
題名: 
go-toolset:rhel8 delve-1.8.3-1.module+el8+1585+5d99e9d3, golang-1.18.9-1.module+el8+1585+5d99e9d3, go-toolset-1.18.9-1.module+el8+1585+5d99e9d3
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- golang の Reader モジュールの Read 関数には、対象とするファイル
のヘッダーの最大サイズを制限していない問題があるため、リモートの
攻撃者により、細工されたアーカイブファイルによる無制限のメモリ
割り当てを介して、リソースの枯渇およびパニックの発生を可能とする
脆弱性が存在します。(CVE-2022-2879)

- golang には、リバースプロキシから転送されたクエリを含む
リクエストの Go プロキシの処理に問題があるため、リモートの攻撃者
により、net/http モジュールによって拒否された解析不能なパラメーター
を含むリクエストを介して、HTTP リクエストスマグリング攻撃を可能
とする脆弱性が存在します。(CVE-2022-2880)

- golang の regexp モジュールには、信頼できない情報元から入力
された正規表現をコンパイルする際に大量のメモリを消費してしまう
問題があるため、リモートの攻撃者により、細工された正規表現の
入力を介して、メモリの枯渇とそれに起因するサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-41715)

Modularity name: go-toolset
Stream name: rhel8

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-2879
Reader.Read does not set a limit on the maximum size of file headers. A maliciously crafted archive could cause Read to allocate unbounded amounts of memory, potentially causing resource exhaustion or panics. After fix, Reader.Read limits the maximum size of header blocks to 1 MiB.
CVE-2022-2880
Requests forwarded by ReverseProxy include the raw query parameters from the inbound request, including unparseable parameters rejected by net/http. This could permit query parameter smuggling when a Go proxy forwards a parameter with an unparseable value. After fix, ReverseProxy sanitizes the query parameters in the forwarded query when the outbound request's Form field is set after the ReverseProxy. Director function returns, indicating that the proxy has parsed the query parameters. Proxies which do not parse query parameters continue to forward the original query parameters unchanged.
CVE-2022-41715
Programs which compile regular expressions from untrusted sources may be vulnerable to memory exhaustion or denial of service. The parsed regexp representation is linear in the size of the input, but in some cases the constant factor can be as high as 40,000, making relatively small regexps consume much larger amounts of memory. After fix, each regexp being parsed is limited to a 256 MB memory footprint. Regular expressions whose representation would use more space than that are rejected. Normal use of regular expressions is unaffected.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. delve-1.8.3-1.module+el8+1585+5d99e9d3.src.rpm
    MD5: 96c690bf16a7aae1fbdae3a2b0a3c980
    SHA-256: 533fca797a81e2bfe560621b32e709c51be0c76d0a32c15e01a938c1ce2c2e42
    Size: 9.47 MB
  2. golang-1.18.9-1.module+el8+1585+5d99e9d3.src.rpm
    MD5: 787a242024de738a8aef305489cbc04d
    SHA-256: 7fe5ad537337e297da25c061503da131bd0cf252957b59b7eba62cfab25d2162
    Size: 21.67 MB
  3. go-toolset-1.18.9-1.module+el8+1585+5d99e9d3.src.rpm
    MD5: 0c025eb4a91144f51314fb954fdad2c2
    SHA-256: 42463889878f0abd49e2933cd536544835a7f0798f54772725dc0d2199a16f7a
    Size: 13.94 kB

Asianux Server 8 for x86_64
  1. delve-1.8.3-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: 03943bad26b6c41062d5dd1086b8f9f9
    SHA-256: 9aae7c3df7961c7de12f6157be90e0ad3a05721ab188cbfafc122becf7c59c2b
    Size: 4.13 MB
  2. delve-debugsource-1.8.3-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: 8533a86f28b22fe16c3002177a57d237
    SHA-256: ad2145c0cf93f62a2dbd8d054c1f0ca279914cb87d23edaac21abd5ad13447bd
    Size: 0.96 MB
  3. golang-1.18.9-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: 658a16d78cf455a9a63409a376ff1855
    SHA-256: 89180fdf0fd3e808b550c2bba1cf3ab18ee8dc4b9bfbcd24ab0faacb33aa816b
    Size: 694.92 kB
  4. golang-bin-1.18.9-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: cbeeffe5be1ba946177b37c150d75c42
    SHA-256: 68d1ce12ce3adce6f85c2885abd14319b076c944e2c9694ca8ca486edb5335b8
    Size: 105.44 MB
  5. golang-docs-1.18.9-1.module+el8+1585+5d99e9d3.noarch.rpm
    MD5: 7e84713868c1c472e649e846e8810488
    SHA-256: c1ed4907103499cc3a403d6d1038214716af8d6bc5ce5c410dd7a2a6a9b7c699
    Size: 125.47 kB
  6. golang-misc-1.18.9-1.module+el8+1585+5d99e9d3.noarch.rpm
    MD5: 0b47e184a2687145c314535b7841bfae
    SHA-256: 9e5781f2deca78304d7d4043096d1ded4c1330bab8679861679f5e0a6bae6a97
    Size: 847.91 kB
  7. golang-race-1.18.9-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: 4cdafe568bf0d1a94a8bd21798064a5e
    SHA-256: 77ff90203cebf5c797b84a051cb91ed5635d82ac8a50311931bc063e91cdaf6a
    Size: 21.18 MB
  8. golang-src-1.18.9-1.module+el8+1585+5d99e9d3.noarch.rpm
    MD5: c09db3aedc61a0438bafb625300c6fc6
    SHA-256: 5d53cd5b6e627cacb7f05c0e0f51b3a95cef03089481f95b110b5a5ae4c50388
    Size: 9.19 MB
  9. golang-tests-1.18.9-1.module+el8+1585+5d99e9d3.noarch.rpm
    MD5: 713a55b32f25bf7f0058c51adde222bf
    SHA-256: 5ef1bdc84c04a338aa7a9f0301f5b2f99d6369e2098f9b096281ae6fd22a4543
    Size: 7.80 MB
  10. go-toolset-1.18.9-1.module+el8+1585+5d99e9d3.x86_64.rpm
    MD5: fde696592ef24171c4fbe7bb4882612c
    SHA-256: 5b9693de6bf92a9eb9bd6a06f698e3065171f86ed1dfaae5a3a2f0b165b5cbe4
    Size: 12.19 kB