skopeo-1.13.3-1.el9

エラータID: AXSA:2023-6774:03

リリース日: 
2023/12/07 Thursday - 17:45
題名: 
skopeo-1.13.3-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- container-tools の HPACK デコーダには、CPU リソースを消費
してしまう問題があるため、リモートの攻撃者により、細工された
HTTP/2 プロトコルによる要求を介して、サービス拒否攻撃を可能
とする脆弱性が存在します。(CVE-2022-41723)

- Go には、TLS ハンドシェイクレコードが大きい場合に応答を
構築しようとするとサーバーとクライアントでそれぞれパニック
を引き起こす問題があるため、リモートの攻撃者により、大きな
TLS ハンドシェイクレコードの送信を介して、サービス拒否
(システムクラッシュ) 状態を引き起こすことを可能とする脆弱性
が存在します。(CVE-2022-41724)

- Go には、net/http および mime/multipart での過剰なリソース消費
の問題があるため、リモートの攻撃者により、巧妙なリクエストの
送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41725)

- Go の HTTP および MIME ヘッダーの解析処理には、必要以上
の大量のメモリを割り当ててしまう問題があるため、リモートの
攻撃者により、細工された HTTP もしくは MIME ヘッダーの入力
を介して、サービス拒否攻撃 (メモリ枯渇) を可能とする脆弱性が
存在します。(CVE-2023-24534)

- Go の mime/multipart モジュールの Reader.ReadForm() 関数には、
大量の CPU リソースおよびメモリ量を消費してしまう問題がある
ため、リモートの攻撃者により、非常に多くのパートを含むように
細工された Web フォームの処理を介して、サービス拒否攻撃
(CPU リソースおよびメモリ枯渇) を可能とする脆弱性が存在します。
(CVE-2023-24536)

- Go の Parse() 関数には、整数オーバーフローに起因する無限ループ
の問題があるため、リモートの攻撃者により、非常に大きい行番号が
設定された //line ディレクティブの指定を介して、サービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2023-24537)

- Go には、HTML テンプレート内のバッククォート文字 "`" を
JavaScript の区切り文字として適切にエスケープしない問題がある
ため、リモートの攻撃者により、巧妙に細工されたリクエストの
送信を介して、任意のコードの実行を可能とする脆弱性が存在
します。(CVE-2023-24538)

- Go には、"/" 文字で区切られた複数の埋め込み文字を含む
テンプレートの解析時に CSS コンテキストが予期せず閉じられて
しまう問題があるため、リモートの攻撃者により、信頼できない
入力を介して、予期しない HTML タグなどの挿入を可能とする
脆弱性が存在します。(CVE-2023-24539)

- Go には、JavaScript で利用できる空白文字の一部を空白として
サニタイズ処理しない問題があるため、リモートの攻撃者により、
特定の空白文字を含むように細工されたテンプレートを介して、
意図しない動作を可能とする脆弱性が存在します。
(CVE-2023-24540)

- Go には、HTML テンプレートの解析処理時に予期しない結果
が出力されてしまう問題があるため、リモートの攻撃者により、
引用符で囲まれていない HTML 属性を含むテンプレートの解析
を介して、HTML タグへの任意の属性の埋め込みを可能とする
脆弱性が存在します。(CVE-2023-29400)

- Go の HTTP/1 クライアントには、Host ヘッダーの内容の検証
が不十分な問題があるため、リモートの攻撃者により、巧妙に
細工された Host ヘッダーを介して、リクエストの送信時に
ヘッダーやリクエストの追加を可能とする脆弱性が存在します。
(CVE-2023-29406)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. skopeo-1.13.3-1.el9.src.rpm
    MD5: bf5e7f71a635c449f86d60ba897840a9
    SHA-256: 42a1d5886ecc88ffb7e371a20e76a60e3acd75dd0ac0b0f9cbbe44094b00bf40
    Size: 7.47 MB

Asianux Server 9 for x86_64
  1. skopeo-1.13.3-1.el9.x86_64.rpm
    MD5: 83afa022d26e2a8548f377fa10510456
    SHA-256: 3aa23e9bb0651ae740538ee27972d599b031330d534bd7d8addb7d506f160b73
    Size: 7.87 MB
  2. skopeo-tests-1.13.3-1.el9.x86_64.rpm
    MD5: 4049b8c11b22e77b973291f020b4266d
    SHA-256: 83e012dd3fe813eca73481057953078988638fff79bbc63ab2d9312cfe98776a
    Size: 764.57 kB