buildah-1.31.3-2.el9_3
エラータID: AXSA:2023-7063:05
以下項目について対処しました。
[Security Fix]
- Go には、証明書チェーン内に含まれる RSA キーの検証に大量の
CPU リソースを消費してしまう問題があるため、リモートの攻撃者
により、非常に大きなサイズの RSA キーを含むように細工された
証明書を介して、サービス拒否攻撃 (CPU リソース枯渇) を可能と
する脆弱性が存在します。(CVE-2023-29409)
- Go の html/template モジュールには、'<script>' タグ内のコメント
タグ ( ) やハッシュバン ( #! ) を適切に処理しない問題があるため、
リモートの攻撃者により、クロスサイトスクリプティング攻撃を
可能とする脆弱性が存在します。(CVE-2023-39318)
- Go の html/template モジュールには、<script> タグを用いて記載
された JavaScript コード内の "<script"、"<!--"、および "</script"
を処理するためのルールが適用されない問題があるため、リモート
の攻撃者により、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2023-39319)
- Go には、リモートの攻撃者により、不完全なポストハンドシェイク
メッセージを介して、サービス拒否攻撃 (クラッシュの発生) を可能と
する脆弱性が存在します。(CVE-2023-39321)
- Go の QUIC プロトコルの処理には、接続後の受信メッセージの
バッファリングデータ量に上限が設けられていない問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (メモリ枯渇) を可能と
する脆弱性が存在します。(CVE-2023-39322)
パッケージをアップデートしてください。
CVES:
CVE-2023-29409
Extremely large RSA keys in certificate chains can cause a client/server to expend significant CPU time verifying signatures. With fix, the size of RSA keys transmitted during handshakes is restricted to <= 8192 bits. Based on a survey of publicly trusted RSA keys, there are currently only three certificates in circulation with keys larger than this, and all three appear to be test certificates that are not actively deployed. It is possible there are larger keys in use in private PKIs, but we target the web PKI, so causing breakage here in the interests of increasing the default safety of users of crypto/tls seems reasonable.
CVE-2023-39318
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
CVE-2023-39319
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
CVE-2023-39321
Processing an incomplete post-handshake message for a QUIC connection can cause a panic.
CVE-2023-39322
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size.
N/A
SRPMS
- buildah-1.31.3-2.el9_3.src.rpm
MD5: 3d076f01bb925541eb2ab79466432aed
SHA-256: 12793d63b2166b0b3c011bc71d053b46bf943b6fc5dddf7ebc7fdcbca25e7aec
Size: 14.73 MB
Asianux Server 9 for x86_64
- buildah-1.31.3-2.el9_3.x86_64.rpm
MD5: c1a2f3fe49e6af742aff4f509c0e3135
SHA-256: 27c0614b12b11a3d3b1543f6a3055774d8853177bef3d7825e1a0a5bc9fbc24c
Size: 8.63 MB - buildah-tests-1.31.3-2.el9_3.x86_64.rpm
MD5: f14a76ab39aefaff995191496ff69d17
SHA-256: cde39a804fdf2e12428d2671c80939b4a68a6ce61d585472da846fd9d47aa9d3
Size: 27.61 MB