runc-1.1.12-2.el9
エラータID: AXSA:2024-7794:03
リリース日:
2024/05/29 Wednesday - 20:23
題名:
runc-1.1.12-2.el9
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- io/fs モジュールの Glob 関数には、制限のない再帰実行に
よりスタックが枯渇する問題があるため、リモートの攻撃者
により、大量のパスセパレータを含むパスを介して、パニック
によるサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30630)
- compress/gzip モジュールの Reader.Read 関数には、制限
のない再帰実行によりスタックが枯渇する問題があるため、
リモートの攻撃者により、連結された 0 バイトの圧縮ファイル
を大量に含むアーカイブファイルを介して、パニックによる
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-30631)
- path/filepath モジュールの Glob 関数には、制限のない再帰
実行によりスタックが枯渇する問題があるため、リモートの
攻撃者により、大量のパスセパレータを含むパスを介して、
パニックによるサービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2022-30632)
- Go の crypto/tls ライブラリには、RSA を利用した TLS キー
交換処理の処理時間が一定にならない math/big ライブラリが
使用されている問題があるため、リモートの攻撃者により、
タイミングサイドチャネル攻撃を可能とする脆弱性が存在
します。(CVE-2023-45287)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2022-30630
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
Uncontrolled recursion in Glob in io/fs before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path which contains a large number of path separators.
CVE-2022-30631
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
CVE-2022-30632
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
Uncontrolled recursion in Glob in path/filepath before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a path containing a large number of path separators.
CVE-2023-45287
Before Go 1.20, the RSA based TLS key exchanges used the math/big library, which is not constant time. RSA blinding was applied to prevent timing attacks, but analysis shows this may not have been fully effective. In particular it appears as if the removal of PKCS#1 padding may leak timing information, which in turn could be used to recover session key bits. In Go 1.20, the crypto/tls library switched to a fully constant time RSA implementation, which we do not believe exhibits any timing side channels.
Before Go 1.20, the RSA based TLS key exchanges used the math/big library, which is not constant time. RSA blinding was applied to prevent timing attacks, but analysis shows this may not have been fully effective. In particular it appears as if the removal of PKCS#1 padding may leak timing information, which in turn could be used to recover session key bits. In Go 1.20, the crypto/tls library switched to a fully constant time RSA implementation, which we do not believe exhibits any timing side channels.
追加情報:
N/A
ダウンロード:
SRPMS
- runc-1.1.12-2.el9.src.rpm
MD5: 8bb61a86bdcea676db87a03d02ee48f2
SHA-256: 4e8ffbf6a13ba956088495617c7ef6aa30bf14eb7fcd187e6deb7788d643c09f
Size: 2.38 MB
Asianux Server 9 for x86_64
- runc-1.1.12-2.el9.x86_64.rpm
MD5: cf034876523caaa94a2a5e1229537881
SHA-256: dba0d4f2e091b11167b6e12a1eda9c0ba7b89de359527a1b58d18bc5dbedb87e
Size: 3.12 MB
English