toolbox-0.0.99.4-6.el9

エラータID: AXSA:2023-6916:03

リリース日: 
2023/12/12 Tuesday - 10:41
題名: 
toolbox-0.0.99.4-6.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Go の yaml モジュールには、大量の CPU リソースおよび
メモリを消費してしまう問題があるため、リモートの攻撃者に
より、巧妙に細工された YAML ドキュメント、または大きな
YAML ドキュメントの解析処理を介して、サービス拒否攻撃
(CPU リソースおよびメモリ枯渇) を可能とする脆弱性が存在
します。(CVE-2022-3064)

- container-tools の HPACK デコーダには、CPU リソースを消費
してしまう問題があるため、リモートの攻撃者により、細工された
HTTP/2 プロトコルによる要求を介して、サービス拒否攻撃を可能
とする脆弱性が存在します。(CVE-2022-41723)

- Go には、net/http および mime/multipart での過剰なリソース消費
の問題があるため、リモートの攻撃者により、巧妙なリクエストの
送信を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41725)

- Go の HTTP および MIME ヘッダーの解析処理には、必要以上
の大量のメモリを割り当ててしまう問題があるため、リモートの
攻撃者により、細工された HTTP もしくは MIME ヘッダーの入力
を介して、サービス拒否攻撃 (メモリ枯渇) を可能とする脆弱性が
存在します。(CVE-2023-24534)

- Go の mime/multipart モジュールの Reader.ReadForm() 関数には、
大量の CPU リソースおよびメモリ量を消費してしまう問題がある
ため、リモートの攻撃者により、非常に多くのパートを含むように
細工された Web フォームの処理を介して、サービス拒否攻撃
(CPU リソースおよびメモリ枯渇) を可能とする脆弱性が存在します。
(CVE-2023-24536)

- Go には、HTML テンプレート内のバッククォート文字 "`" を
JavaScript の区切り文字として適切にエスケープしない問題がある
ため、リモートの攻撃者により、巧妙に細工されたリクエストの
送信を介して、任意のコードの実行を可能とする脆弱性が存在
します。(CVE-2023-24538)

- Go には、"/" 文字で区切られた複数の埋め込み文字を含む
テンプレートの解析時に CSS コンテキストが予期せず閉じられて
しまう問題があるため、リモートの攻撃者により、信頼できない
入力を介して、予期しない HTML タグなどの挿入を可能とする
脆弱性が存在します。(CVE-2023-24539)

- Go には、JavaScript で利用できる空白文字の一部を空白として
サニタイズ処理しない問題があるため、リモートの攻撃者により、
特定の空白文字を含むように細工されたテンプレートを介して、
意図しない動作を可能とする脆弱性が存在します。
(CVE-2023-24540)

- Go には、HTML テンプレートの解析処理時に予期しない結果
が出力されてしまう問題があるため、リモートの攻撃者により、
引用符で囲まれていない HTML 属性を含むテンプレートの解析
を介して、HTML タグへの任意の属性の埋め込みを可能とする
脆弱性が存在します。(CVE-2023-29400)

- Go の HTTP/1 クライアントには、Host ヘッダーの内容の検証
が不十分な問題があるため、リモートの攻撃者により、巧妙に
細工された Host ヘッダーを介して、リクエストの送信時に
ヘッダーやリクエストの追加を可能とする脆弱性が存在します。
(CVE-2023-29406)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. toolbox-0.0.99.4-6.el9.src.rpm
    MD5: 5c813bc1c6cc49278d1ea0edb533921e
    SHA-256: 114105b78ab1922858974b90d4b099b27454e01dac0f88a1f5f2e9c2cfbe6950
    Size: 2.25 MB

Asianux Server 9 for x86_64
  1. toolbox-0.0.99.4-6.el9.x86_64.rpm
    MD5: 560c06dbfd964cb8c64e95f7d4c01675
    SHA-256: 5206cf0ecc7d91ae404aaeb3b88bef63dcbb823d9a28df4c01a6cb9e50202eca
    Size: 2.52 MB
  2. toolbox-tests-0.0.99.4-6.el9.x86_64.rpm
    MD5: e5dfc6918ba2347b3e2f95596f94cf42
    SHA-256: 20ff389a22cfe4c352d931055671fb56f134cf4f57a0bd7544941fbe75c95703
    Size: 35.10 kB