buildah-1.29.1-1.el9

エラータID: AXSA:2023-5642:02

リリース日: 
2023/05/30 Tuesday - 05:13
題名: 
buildah-1.29.1-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- crypto/tls モジュールには、セッションチケットの ticket_age_add
がランダム値でない問題があるため、TLS ハンドシェイクを観測できる
攻撃者により、ticket age の比較を介して、連続するコネクションの
関連付けを可能とする脆弱性が存在します。(CVE-2022-30629)

- golang の net/http ライブラリには、大量のメモリを消費してしまう
問題があるため、リモートの攻撃者により、細工した HTTP/2 リクエスト
の送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41717)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-30629
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
CVE-2022-41717
An attacker can cause excessive memory growth in a Go server accepting HTTP/2 requests. HTTP/2 server connections contain a cache of HTTP header keys sent by the client. While the total number of entries in this cache is capped, an attacker sending very large keys can cause the server to allocate approximately 64 MiB per open connection.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. buildah-1.29.1-1.el9.src.rpm
    MD5: f82f0e0d8ac2c990f28950a415f425f8
    SHA-256: c1149d9dc332581246ddf52a3615a31f6000e761676b051b5153235c5d5bf0a5
    Size: 14.60 MB

Asianux Server 9 for x86_64
  1. buildah-1.29.1-1.el9.x86_64.rpm
    MD5: c438c5efbf689ab9f99e65c09f2ac136
    SHA-256: fc1877bf798c51cf2229efabd19b8e5d90d20fba662036434466b0f3c5e58aab
    Size: 8.59 MB
  2. buildah-tests-1.29.1-1.el9.x86_64.rpm
    MD5: 583deeec2262c6bbf3617303e280c897
    SHA-256: 12843f672e8ac5f5d3244506402e156d59e9caf401b383709883ad827d4841a6
    Size: 27.45 MB