git-lfs-3.2.0-3.el8_9

エラータID: AXSA:2024-7734:01

リリース日: 
2024/05/07 Tuesday - 15:08
題名: 
git-lfs-3.2.0-3.el8_9
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Go の HTTP/2 プロトコルスタックには、CONTINUATION
フレームのサイズ制限の不備により任意のサイズのヘッダー
の読み取りを許容してしまう問題があるため、リモートの
攻撃者により、ヘッダー部にハフマン圧縮されたデータを
含むように細工された大量の CONTINUATION フレームの
送信を介して、サービス拒否攻撃 (リソース枯渇) を可能と
する脆弱性が存在します。(CVE-2023-45288)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-45288
An attacker may cause an HTTP/2 endpoint to read arbitrary amounts of header data by sending an excessive number of CONTINUATION frames. Maintaining HPACK state requires parsing and processing all HEADERS and CONTINUATION frames on a connection. When a request's headers exceed MaxHeaderBytes, no memory is allocated to store the excess headers, but they are still parsed. This permits an attacker to cause an HTTP/2 endpoint to read arbitrary amounts of header data, all associated with a request which is going to be rejected. These headers can include Huffman-encoded data which is significantly more expensive for the receiver to decode than for an attacker to send. The fix sets a limit on the amount of excess header frames we will process before closing a connection.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. git-lfs-3.2.0-3.el8_9.src.rpm
    MD5: 0baedac8e366c98f87a08bed9e655cad
    SHA-256: 8b0699a566ac217656c1a25229da866f016ca7b93cbc7a86641759e6f915a5db
    Size: 3.07 MB

Asianux Server 8 for x86_64
  1. git-lfs-3.2.0-3.el8_9.x86_64.rpm
    MD5: 1f5db6a5fecab090f8d339073d9cc5d0
    SHA-256: dc2f55ea87b22db6a3842c280fd3c734583045374fdeda4eb229daca663da721
    Size: 4.10 MB