containernetworking-plugins-1.2.0-1.el9

エラータID: AXSA:2023-5584:01

リリース日: 
2023/05/29 Monday - 05:36
題名: 
containernetworking-plugins-1.2.0-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- crypto/tls モジュールには、セッションチケットの ticket_age_add
がランダム値でない問題があるため、TLS ハンドシェイクを観測できる
攻撃者により、ticket age の比較を介して、連続するコネクションの
関連付けを可能とする脆弱性が存在します。(CVE-2022-30629)

- golang の net/http ライブラリには、大量のメモリを消費してしまう
問題があるため、リモートの攻撃者により、細工した HTTP/2 リクエスト
の送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41717)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-30629
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
CVE-2022-41717
An attacker can cause excessive memory growth in a Go server accepting HTTP/2 requests. HTTP/2 server connections contain a cache of HTTP header keys sent by the client. While the total number of entries in this cache is capped, an attacker sending very large keys can cause the server to allocate approximately 64 MiB per open connection.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. containernetworking-plugins-1.2.0-1.el9.src.rpm
    MD5: cbddbbc9f137d685ea24425854f0b828
    SHA-256: 0075833fe5f67d1a1b1d2541f20166c3cadac855d8e05bb1233381244e30c97e
    Size: 3.07 MB

Asianux Server 9 for x86_64
  1. containernetworking-plugins-1.2.0-1.el9.x86_64.rpm
    MD5: 57b39c71c10614c630f5a3d274828831
    SHA-256: e99d79a1347d3704efe8cbca372f81dfbf4c8d705054ee048bea72ab160ccd35
    Size: 8.57 MB