skopeo-1.14.3-2.el9
エラータID: AXSA:2024-8078:02
リリース日:
2024/05/31 Friday - 19:53
題名:
skopeo-1.14.3-2.el9
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Go の protobuf モジュールの protojson.Unmarshal() 関数
には、無限ループの発生に至る問題があるため、リモート
の攻撃者により、UnmarshalOptions.DiscardUnknown
オプションが設定されている場合、もしくは
google.protobuf.Any 値を含むように細工された JSON
形式のデータのアンマーシャル処理を介して、サービス
拒否攻撃、およびその他の特定できない影響を及ぼす
攻撃を可能とする脆弱性が存在します。
(CVE-2024-24786)
- jose の Decrypt() 関数および DecryptMulti() 関数には、
リモートの攻撃者により、細工された圧縮データを含む
JWE 形式のデータの送信を介して、サービス拒否攻撃
(CPU リソースおよびメモリの枯渇) を可能とする脆弱性
が存在します。(CVE-2024-28180)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2024-24786
The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.
The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.
CVE-2024-28180
Package jose aims to provide an implementation of the Javascript Object Signing and Encryption set of standards. An attacker could send a JWE containing compressed data that used large amounts of memory and CPU when decompressed by Decrypt or DecryptMulti. Those functions now return an error if the decompressed data would exceed 250kB or 10x the compressed size (whichever is larger). This vulnerability has been patched in versions 4.0.1, 3.0.3 and 2.6.3.
Package jose aims to provide an implementation of the Javascript Object Signing and Encryption set of standards. An attacker could send a JWE containing compressed data that used large amounts of memory and CPU when decompressed by Decrypt or DecryptMulti. Those functions now return an error if the decompressed data would exceed 250kB or 10x the compressed size (whichever is larger). This vulnerability has been patched in versions 4.0.1, 3.0.3 and 2.6.3.
追加情報:
N/A
ダウンロード:
SRPMS
- skopeo-1.14.3-2.el9.src.rpm
MD5: 58e4bb13f2785a23669f3a3c6c332896
SHA-256: a734c2c19df0eb95223eedac84a6a08b56f65f57db3a7acd57683b67875fd4d8
Size: 9.98 MB
Asianux Server 9 for x86_64
- skopeo-1.14.3-2.el9.x86_64.rpm
MD5: 1221dc327f11a6ffc1697b5c35626617
SHA-256: b284e1a6b09b23b3e62eb9611787db4131e8d476e05d604d4cdd33bed62f84a1
Size: 8.55 MB - skopeo-tests-1.14.3-2.el9.x86_64.rpm
MD5: c35b36308c7690f5cc67ef3e52d79b6e
SHA-256: 425bda769be3d3f3ba2837d7c627fc905dc9db9b4abef9d6bce8d32b701ab039
Size: 760.45 kB