skopeo-1.13.3-3.el9_3
エラータID: AXSA:2023-7059:04
以下項目について対処しました。
[Security Fix]
- Go には、証明書チェーン内に含まれる RSA キーの検証に大量の
CPU リソースを消費してしまう問題があるため、リモートの攻撃者
により、非常に大きなサイズの RSA キーを含むように細工された
証明書を介して、サービス拒否攻撃 (CPU リソース枯渇) を可能と
する脆弱性が存在します。(CVE-2023-29409)
- Go の html/template モジュールには、'<script>' タグ内のコメント
タグ ( <!-- --> ) やハッシュバン ( #! ) を適切に処理しない問題がある
ため、リモートの攻撃者により、クロスサイトスクリプティング
攻撃を可能とする脆弱性が存在します。(CVE-2023-39318)
- Go の html/template モジュールには、<script> タグを用いて記載
された JavaScript コード内の "<script"、"<!--"、および "</script" を
処理するためのルールが適用されない問題があるため、リモートの
攻撃者により、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2023-39319)
- Go には、リモートの攻撃者により、不完全なポストハンドシェイク
メッセージを介して、サービス拒否攻撃 (クラッシュの発生) を可能と
する脆弱性が存在します。(CVE-2023-39321)
- Go の QUIC プロトコルの処理には、接続後の受信メッセージの
バッファリングデータ量に上限が設けられていない問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (メモリ枯渇) を可能と
する脆弱性が存在します。(CVE-2023-39322)
パッケージをアップデートしてください。
CVES:
CVE-2023-29409
Extremely large RSA keys in certificate chains can cause a client/server to expend significant CPU time verifying signatures. With fix, the size of RSA keys transmitted during handshakes is restricted to <= 8192 bits. Based on a survey of publicly trusted RSA keys, there are currently only three certificates in circulation with keys larger than this, and all three appear to be test certificates that are not actively deployed. It is possible there are larger keys in use in private PKIs, but we target the web PKI, so causing breakage here in the interests of increasing the default safety of users of crypto/tls seems reasonable.
CVE-2023-39318
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
CVE-2023-39319
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
CVE-2023-39321
Processing an incomplete post-handshake message for a QUIC connection can cause a panic.
CVE-2023-39322
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size.
N/A
SRPMS
- skopeo-1.13.3-3.el9_3.src.rpm
MD5: cb97b37a9bc8cbe3505c1d2094ad6a3c
SHA-256: 037920777119c82533ebb0b941406738aab9c4a368ca676ce23759c713b719ee
Size: 7.47 MB
Asianux Server 9 for x86_64
- skopeo-1.13.3-3.el9_3.x86_64.rpm
MD5: 24fb7eb133ba98c4a387f63a509915a2
SHA-256: 8c9fda30d14e60bd71868c7048e1f6e8d4bae12d78dd3c38d307838b98e7e219
Size: 7.88 MB - skopeo-tests-1.13.3-3.el9_3.x86_64.rpm
MD5: 1372f3bfca3943ab596b204c0ec19962
SHA-256: a723e86d3369d46afd49997b1143f94f016129aeeb2d93e693b87c2b5aeaec80
Size: 760.18 kB