toolbox-0.0.99.3-9.el9

エラータID: AXSA:2023-5654:01

リリース日: 
2023/05/30 Tuesday - 07:24
題名: 
toolbox-0.0.99.3-9.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- go の net/http モジュールには、HTTP/2 接続のシャットダウン前に
致命的なエラーが発生した場合 HTTP/2 接続が無応答状態になる問題が
あるため、リモートの攻撃者により、サービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-27664)

- go の math/big モジュールの Float 型および Rat 型をレシーバーとする
GobDecode 関数には、パニックの発生に至る問題があるため、リモート
の攻撃者により、短すぎる入力データを介して、サービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-32189)

- golang の net/http ライブラリには、大量のメモリを消費してしまう
問題があるため、リモートの攻撃者により、細工した HTTP/2 リクエスト
の送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41717)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-27664
In net/http in Go before 1.18.6 and 1.19.x before 1.19.1, attackers can cause a denial of service because an HTTP/2 connection can hang during closing if shutdown were preempted by a fatal error.
CVE-2022-32189
A too-short encoded message can cause a panic in Float.GobDecode and Rat GobDecode in math/big in Go before 1.17.13 and 1.18.5, potentially allowing a denial of service.
CVE-2022-41717
An attacker can cause excessive memory growth in a Go server accepting HTTP/2 requests. HTTP/2 server connections contain a cache of HTTP header keys sent by the client. While the total number of entries in this cache is capped, an attacker sending very large keys can cause the server to allocate approximately 64 MiB per open connection.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. toolbox-0.0.99.3-9.el9.src.rpm
    MD5: e1afaeacff4d21bb995add269b62de6e
    SHA-256: 19dcd2a4aebaa690ec23f3410851e49ff1ced7d07adf59adf1d46473b43b2f82
    Size: 2.21 MB

Asianux Server 9 for x86_64
  1. toolbox-0.0.99.3-9.el9.x86_64.rpm
    MD5: 0f327b6db4eeaadd859dd9a4b43dc31c
    SHA-256: 20adc405d4b3f786a7ff082e3f5b3a29f85f6a3f9205eea4104167f3ec094bf4
    Size: 2.35 MB
  2. toolbox-tests-0.0.99.3-9.el9.x86_64.rpm
    MD5: 450b0a9ce776ac58d5660b7b28d06083
    SHA-256: 5000e04edbdaec0295c55ecd886cc2a4530cc80c25c58fe92d906f4a73b40e2c
    Size: 35.49 kB