containernetworking-plugins-1.3.0-4.el9

エラータID: AXSA:2023-6651:02

リリース日: 
2023/12/07 Thursday - 08:21
題名: 
containernetworking-plugins-1.3.0-4.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- container-tools の HPACK デコーダには、CPU リソースを消費
してしまう問題があるため、リモートの攻撃者により、細工された
HTTP/2 プロトコルによる要求を介して、サービス拒否攻撃を可能
とする脆弱性が存在します。(CVE-2022-41723)

- Go には、TLS ハンドシェイクレコードが大きい場合に応答を
構築しようとするとサーバーとクライアントでそれぞれパニックを
引き起こす問題があるため、リモートの攻撃者により、大きな TLS
ハンドシェイクレコードの送信を介して、サービス拒否 (システム
クラッシュ) 状態を引き起こすことを可能とする脆弱性が存在します。
(CVE-2022-41724)

- Go には、net/http および mime/multipart での過剰なリソース消費
の問題があるため、リモートの攻撃者により、巧妙なリクエストの
送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41725)

- Go の HTTP および MIME ヘッダーの解析処理には、必要以上
の大量のメモリを割り当ててしまう問題があるため、リモートの
攻撃者により、細工された HTTP もしくは MIME ヘッダーの入力
を介して、サービス拒否攻撃 (メモリ枯渇) を可能とする脆弱性が
存在します。(CVE-2023-24534)

- Go の mime/multipart モジュールの Reader.ReadForm() 関数には、
大量の CPU リソースおよびメモリ量を消費してしまう問題がある
ため、リモートの攻撃者により、非常に多くのパートを含むように
細工された Web フォームの処理を介して、サービス拒否攻撃
(CPU リソースおよびメモリ枯渇) を可能とする脆弱性が存在します。
(CVE-2023-24536)

- Go には、HTML テンプレート内のバッククォート文字 "`" を
JavaScript の区切り文字として適切にエスケープしない問題がある
ため、リモートの攻撃者により、巧妙に細工されたリクエストの
送信を介して、任意のコードの実行を可能とする脆弱性が存在
します。(CVE-2023-24538)

- Go には、"/" 文字で区切られた複数の埋め込み文字を含む
テンプレートの解析時に CSS コンテキストが予期せず閉じられて
しまう問題があるため、リモートの攻撃者により、信頼できない
入力を介して、予期しない HTML タグなどの挿入を可能とする
脆弱性が存在します。(CVE-2023-24539)

- Go には、JavaScript で利用できる空白文字の一部を空白として
サニタイズ処理しない問題があるため、リモートの攻撃者により、
特定の空白文字を含むように細工されたテンプレートを介して、
意図しない動作を可能とする脆弱性が存在します。
(CVE-2023-24540)

- Go には、HTML テンプレートの解析処理時に予期しない結果
が出力されてしまう問題があるため、リモートの攻撃者により、
引用符で囲まれていない HTML 属性を含むテンプレートの解析
を介して、HTML タグへの任意の属性の埋め込みを可能とする
脆弱性が存在します。(CVE-2023-29400)

- Go の HTTP/1 クライアントには、Host ヘッダーの内容の検証
が不十分な問題があるため、リモートの攻撃者により、巧妙に
細工された Host ヘッダーを介して、リクエストの送信時に
ヘッダーやリクエストの追加を可能とする脆弱性が存在します。
(CVE-2023-29406)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. containernetworking-plugins-1.3.0-4.el9.src.rpm
    MD5: 018157554958b85bdd85a8d7caa13770
    SHA-256: 99979b25deeef2075f125876825091b07d60b062e4138417f13da22fe9204e12
    Size: 3.36 MB

Asianux Server 9 for x86_64
  1. containernetworking-plugins-1.3.0-4.el9.x86_64.rpm
    MD5: 3be9c47b5bb461e8e6f316f12cbac538
    SHA-256: 32af247776f79851d07c2fda40baf333fb1d00d05adc0b8b463b0247f0d3e3e6
    Size: 9.24 MB