buildah-1.31.3-1.el9

エラータID: AXSA:2023-6640:04

リリース日: 
2023/12/07 Thursday - 07:43
題名: 
buildah-1.31.3-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- container-tools の HPACK デコーダには、CPU リソースを消費
してしまう問題があるため、リモートの攻撃者により、細工された
HTTP/2 プロトコルによる要求を介して、サービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2022-41723)

- Go には、TLS ハンドシェイクレコードが大きい場合に応答を
構築しようとするとサーバーとクライアントでそれぞれパニック
を引き起こす問題があるため、リモートの攻撃者により、大きな
TLS ハンドシェイクレコードの送信を介して、サービス拒否
(システムクラッシュ) 状態を引き起こすことを可能とする脆弱性
が存在します。(CVE-2022-41724)

- Go には、net/http および mime/multipart での過剰なリソース
消費の問題があるため、リモートの攻撃者により、巧妙な
リクエストの送信を介して、サービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-41725)

- Go の HTTP および MIME ヘッダーの解析処理には、必要以上
の大量のメモリを割り当ててしまう問題があるため、リモートの
攻撃者により、細工された HTTP もしくは MIME ヘッダーの入力
を介して、サービス拒否攻撃 (メモリ枯渇) を可能とする脆弱性が
存在します。(CVE-2023-24534)

- Go の mime/multipart モジュールの Reader.ReadForm() 関数
には、大量の CPU リソースおよびメモリ量を消費してしまう
問題があるため、リモートの攻撃者により、非常に多くのパート
を含むように細工された Web フォームの処理を介して、サービス
拒否攻撃 (CPU リソースおよびメモリ枯渇) を可能とする脆弱性
が存在します。(CVE-2023-24536)

- Go には、HTML テンプレート内のバッククォート文字 "`" を
JavaScript の区切り文字として適切にエスケープしない問題
があるため、リモートの攻撃者により、巧妙に細工された
リクエストの送信を介して、任意のコードの実行を可能とする
脆弱性が存在します。(CVE-2023-24538)

- Go には、"/" 文字で区切られた複数の埋め込み文字を含む
テンプレートの解析時に CSS コンテキストが予期せず閉じられて
しまう問題があるため、リモートの攻撃者により、信頼できない
入力を介して、予期しない HTML タグなどの挿入を可能とする
脆弱性が存在します。(CVE-2023-24539)

- Go には、JavaScript で利用できる空白文字の一部を空白として
サニタイズ処理しない問題があるため、リモートの攻撃者により、
特定の空白文字を含むように細工されたテンプレートを介して、
意図しない動作を可能とする脆弱性が存在します。
(CVE-2023-24540)

- containerd には、サプリメンタルグループの設定がコンテナ内に
適切に反映されず、プライマリグループによるアクセス制限を迂回
できてしまう問題があるため、ローカルの攻撃者により、コンテナ
内でのサプリメンタルグループの操作を介して、任意のコードの
実行、および情報の漏洩を可能とする脆弱性が存在します。
(CVE-2023-25173)

- Go には、HTML テンプレートの解析処理時に予期しない結果
が出力されてしまう問題があるため、リモートの攻撃者により、
引用符で囲まれていない HTML 属性を含むテンプレートの解析
を介して、HTML タグへの任意の属性の埋め込みを可能とする
脆弱性が存在します。(CVE-2023-29400)

- Go の HTTP/1 クライアントには、Host ヘッダーの内容の検証
が不十分な問題があるため、リモートの攻撃者により、巧妙に
細工された Host ヘッダーを介して、リクエストの送信時に
ヘッダーやリクエストの追加を可能とする脆弱性が存在します。
(CVE-2023-29406)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. buildah-1.31.3-1.el9.src.rpm
    MD5: b53274e1eef03a74a3746ef6247fde15
    SHA-256: 60a4483fb6a53a65805773820abdb36fd2be7811ff8c9ddfb642bc86133ca404
    Size: 14.74 MB

Asianux Server 9 for x86_64
  1. buildah-1.31.3-1.el9.x86_64.rpm
    MD5: 37e378bfe5407b4e5fdd74312a4da388
    SHA-256: 5433a5ce1bf6946f497aacc44869fb0b71b475c322be94bdadf14621b12dc54a
    Size: 8.64 MB
  2. buildah-tests-1.31.3-1.el9.x86_64.rpm
    MD5: a938981825914b2828d8f83308717819
    SHA-256: 4a33b135c68420e58335fa2f1d27d9b6eef58da296e105468f386775022aa094
    Size: 27.61 MB