toolbox-0.0.99.5-2.el9
エラータID: AXSA:2024-7795:01
以下項目について対処しました。
[Security Fix]
- Go の html/template モジュールには、'<script>' タグ内
のコメントタグ (<!-- -->) やハッシュバン ( #! ) を適切に
処理しない問題があるため、リモートの攻撃者により、
クロスサイトスクリプティング攻撃を可能とする脆弱性が
存在します。(CVE-2023-39318)
- Go の html/template モジュールには、<script> タグを用いて記載
された JavaScript コード内の "<script"、"<!--"、および "</script"
を処理するためのルールが適用されない問題があるため、リモート
の攻撃者により、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2023-39319)
- Go の net/http エンコーディングリーダーのチャンク拡張機能の
処理には、最大 1 GiByte の本文のよりも大きいデータの読み取り
を許容してしまう問題があるため、リモートの攻撃者により、細工
された大量のデータの送信を介して、サービス拒否攻撃を可能
とする脆弱性が存在します。(CVE-2023-39326)
CVE(s):
CVE-2023-39318
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in contexts. This may cause the template parser to improperly interpret the contents of contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
CVE-2023-39319
The html/template package does not apply the proper rules for handling occurrences of " contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
CVE-2023-39326
A malicious HTTP sender can use chunk extensions to cause a receiver reading from a request or response body to read many more bytes from the network than are in the body. A malicious HTTP client can further exploit this to cause a server to automatically read a large amount of data (up to about 1GiB) when a handler fails to read the entire body of a request. Chunk extensions are a little-used HTTP feature which permit including additional metadata in a request or response body sent using the chunked encoding. The net/http chunked encoding reader discards this metadata. A sender can exploit this by inserting a large metadata segment with each byte transferred. The chunk reader now produces an error if the ratio of real body to encoded bytes grows too small.
パッケージをアップデートしてください。
N/A
SRPMS
- toolbox-0.0.99.5-2.el9.src.rpm
MD5: 04e9a6daa36ffd24f4a55d034992393b
SHA-256: a0957342e9f30ccabeacb778195b66e74e19e27843b9710f6ced7acff23512dd
Size: 1.10 MB
Asianux Server 9 for x86_64
- toolbox-0.0.99.5-2.el9.x86_64.rpm
MD5: 771ebb58057bf978c15797a402ea68fd
SHA-256: 0e74db947199da32fc84ee5247072c512470dc1b00512648eeb3d244537702db
Size: 2.50 MB - toolbox-tests-0.0.99.5-2.el9.x86_64.rpm
MD5: abe844ca3919f1eb54fc4bba3ee78059
SHA-256: 05a1b1dc768b31c8a461c31e64d884e5e0aa858f796e16cf9e1c1ab408c5ef18
Size: 40.62 kB