podman-4.6.1-7.el9_3

エラータID: AXSA:2023-7058:08

リリース日: 
2023/12/21 Thursday - 06:44
題名: 
podman-4.6.1-7.el9_3
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Go には、証明書チェーン内に含まれる RSA キーの検証に大量の
CPU リソースを消費してしまう問題があるため、リモートの攻撃者
により、非常に大きなサイズの RSA キーを含むように細工された
証明書を介して、サービス拒否攻撃 (CPU リソース枯渇) を可能と
する脆弱性が存在します。(CVE-2023-29409)

- Go の html/template モジュールには、'<script>' タグ内のコメント
タグ ( ) やハッシュバン ( #! ) を適切に処理しない問題があるため、
リモートの攻撃者により、クロスサイトスクリプティング攻撃を
可能とする脆弱性が存在します。(CVE-2023-39318)

- Go の html/template モジュールには、<script> タグを用いて記載
された JavaScript コード内の "<script"、"<!--"、および "</script"
を処理するためのルールが適用されない問題があるため、リモート
の攻撃者により、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2023-39319)

- Go には、リモートの攻撃者により、不完全なポストハンドシェイク
メッセージを介して、サービス拒否攻撃 (クラッシュの発生) を可能と
する脆弱性が存在します。(CVE-2023-39321)

- Go の QUIC プロトコルの処理には、接続後の受信メッセージの
バッファリングデータ量に上限が設けられていない問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (メモリ枯渇) を可能と
する脆弱性が存在します。(CVE-2023-39322)

解決策: 

パッケージをアップデートしてください。

CVES:

CVE-2023-29409
Extremely large RSA keys in certificate chains can cause a client/server to expend significant CPU time verifying signatures. With fix, the size of RSA keys transmitted during handshakes is restricted to <= 8192 bits. Based on a survey of publicly trusted RSA keys, there are currently only three certificates in circulation with keys larger than this, and all three appear to be test certificates that are not actively deployed. It is possible there are larger keys in use in private PKIs, but we target the web PKI, so causing breakage here in the interests of increasing the default safety of users of crypto/tls seems reasonable.
CVE-2023-39318
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
CVE-2023-39319
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
CVE-2023-39321
Processing an incomplete post-handshake message for a QUIC connection can cause a panic.
CVE-2023-39322
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size.