go-toolset:rhel8 security fix update

エラータID: AXSA:2024-8389:01

リリース日: 
2024/06/19 Wednesday - 10:15
題名: 
go-toolset:rhel8 security fix update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Go の HTTP/2 プロトコルスタックには、CONTINUATION
フレームのサイズ制限の不備により任意のサイズのヘッダー
の読み取りを許容してしまう問題があるため、リモートの
攻撃者により、ヘッダー部にハフマン圧縮されたデータを
含むように細工された大量の CONTINUATION フレームの
送信を介して、サービス拒否攻撃 (リソース枯渇) を可能
とする脆弱性が存在します。(CVE-2023-45288)

- Go の net/http/cookiejar パッケージの http.Client() 関数には、
サブドメインが一致しない、もしくは最初のドメインと完全
一致しないドメインへ HTTP リダイレクトを行う場合、
"Authorization" および "Cookie" などの機密情報を含む HTTP
ヘッダーを転送しない問題があるため、リモートの攻撃者
により、細工された HTTP リダイレクトを介して、HTTP
ヘッダーの漏洩などを可能とする脆弱性が存在します。
(CVE-2023-45289)

- Go の net/http パッケージの ParseMultipartForm() 関数には、
すべてのフォームの解析時に適用するメモリサイズの制限値
がそれぞれのフォームの解析処理時には適用されない問題が
あるため、リモートの攻撃者により、非常に長い行を含む
ように細工された入力を介して、サービス拒否攻撃 (メモリ
枯渇) を可能とする脆弱性が存在します。(CVE-2023-45290)

- Go の crypto/x509 パッケージの Certificate.Verify() 関数には、
不明な公開鍵アルゴリズムが設定された証明書を含む証明書
チェーンの検証処理に問題があるため、リモートの攻撃者に
より、巧妙に細工された証明書の検証処理を介して、サービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2024-24783)

- Go の net/mail パッケージの ParseAddressList() 関数には、
括弧で括られたメールアドレスの表示名内のコメントを誤って
処理してしまう問題があるため、リモートの攻撃者により、
細工されたメールアドレスの表記文字列を介して、他のメール
アドレス文字列のパーサー間との解釈の不整合、およびこれに
起因する特定できない影響を与える攻撃を可能とする脆弱性
が存在します。(CVE-2024-24784)

- Go の html/template パッケージの MarshalJSON() 関数には、
返されたエラーにユーザー制御データが含まれていた場合、
コンテキストの自動エスケープ機能の迂回を許容してしまう
問題があるため、リモートの攻撃者により、細工された JSON
形式のデータの解析を介して、Web ページへの不正な
コンテンツの埋め込みを可能とする脆弱性が存在します。
(CVE-2024-24785)

Modularity name: go-toolset
Stream name: rhel8

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-45288
An attacker may cause an HTTP/2 endpoint to read arbitrary amounts of header data by sending an excessive number of CONTINUATION frames. Maintaining HPACK state requires parsing and processing all HEADERS and CONTINUATION frames on a connection. When a request's headers exceed MaxHeaderBytes, no memory is allocated to store the excess headers, but they are still parsed. This permits an attacker to cause an HTTP/2 endpoint to read arbitrary amounts of header data, all associated with a request which is going to be rejected. These headers can include Huffman-encoded data which is significantly more expensive for the receiver to decode than for an attacker to send. The fix sets a limit on the amount of excess header frames we will process before closing a connection.
CVE-2023-45289
When following an HTTP redirect to a domain which is not a subdomain match or exact match of the initial domain, an http.Client does not forward sensitive headers such as "Authorization" or "Cookie". For example, a redirect from foo.com to www.foo.com will forward the Authorization header, but a redirect to bar.com will not. A maliciously crafted HTTP redirect could cause sensitive headers to be unexpectedly forwarded.
CVE-2023-45290
When parsing a multipart form (either explicitly with Request.ParseMultipartForm or implicitly with Request.FormValue, Request.PostFormValue, or Request.FormFile), limits on the total size of the parsed form were not applied to the memory consumed while reading a single form line. This permits a maliciously crafted input containing very long lines to cause allocation of arbitrarily large amounts of memory, potentially leading to memory exhaustion. With fix, the ParseMultipartForm function now correctly limits the maximum size of form lines.
CVE-2024-24783
Verifying a certificate chain which contains a certificate with an unknown public key algorithm will cause Certificate.Verify to panic. This affects all crypto/tls clients, and servers that set Config.ClientAuth to VerifyClientCertIfGiven or RequireAndVerifyClientCert. The default behavior is for TLS servers to not verify client certificates.
CVE-2024-24784
The ParseAddressList function incorrectly handles comments (text within parentheses) within display names. Since this is a misalignment with conforming address parsers, it can result in different trust decisions being made by programs using different parsers.
CVE-2024-24785
If errors returned from MarshalJSON methods contain user controlled data, they may be used to break the contextual auto-escaping behavior of the html/template package, allowing for subsequent actions to inject unexpected content into templates.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. delve-1.21.2-3.module+el8+1757+6b05b976.src.rpm
    MD5: 05d9dc32bb0902b1d4303990ece28cfa
    SHA-256: 2db7d5effde2c4de625750b62d53e04d29f561f49cc2fa5c712c9c20691652c9
    Size: 8.96 MB
  2. golang-1.21.9-1.module+el8+1757+6b05b976.src.rpm
    MD5: 28a913f9214cbcdc650012c97a07b69e
    SHA-256: 625d32f70c11289d7251a439ea1c2428f1c315125bd87135d8f5878c98b392b5
    Size: 25.73 MB
  3. go-toolset-1.21.9-1.module+el8+1757+6b05b976.src.rpm
    MD5: 64b37b5e076dba06ac5c911867c04699
    SHA-256: 3c77a5e8a54f4ec4d36b695a653be9b3afa666347a01e753feceea8f2bbeca33
    Size: 15.39 kB

Asianux Server 8 for x86_64
  1. delve-1.21.2-3.module+el8+1757+6b05b976.x86_64.rpm
    MD5: 45d81bcd1e2486b63c984da505dafff6
    SHA-256: 3c33bf74cefb5f441c45d656c249837143fff464ac8e29d77d778e2171f1e931
    Size: 4.57 MB
  2. delve-debugsource-1.21.2-3.module+el8+1757+6b05b976.x86_64.rpm
    MD5: 3db1555c13929684751af37c239bb09b
    SHA-256: 1fe9d8dcae7a07d858e1abd8eb3d8a7e07f0874e71527362ad08e67f81af319b
    Size: 1.11 MB
  3. golang-1.21.9-1.module+el8+1757+6b05b976.x86_64.rpm
    MD5: 3341b29161381e811fa47fb6527c576b
    SHA-256: c84a4870fa0e6927799fb35ecb042d3c7d2d2411980ad98c1dd7e98001a5b3d2
    Size: 754.26 kB
  4. golang-bin-1.21.9-1.module+el8+1757+6b05b976.x86_64.rpm
    MD5: f03d0a118c6e8bf141387787922de8b0
    SHA-256: 20c3019a6261bdfe26a50eda1649afb2535cd9d24df5a61e2682142312b4dc12
    Size: 63.47 MB
  5. golang-docs-1.21.9-1.module+el8+1757+6b05b976.noarch.rpm
    MD5: 4802664c09a205e0147fd1b10a438564
    SHA-256: 865645c096f6f586b3ec67c6cf7b7d36047e010d655e91c453e308185144e7e8
    Size: 126.15 kB
  6. golang-misc-1.21.9-1.module+el8+1757+6b05b976.noarch.rpm
    MD5: 7f5c53842b37f7e40715ad4690b60ca5
    SHA-256: 0321ae31af7a5f179d48a4de80333a168ef5c27926d988526086b67d3c24f546
    Size: 68.01 kB
  7. golang-src-1.21.9-1.module+el8+1757+6b05b976.noarch.rpm
    MD5: 498b16833f6bb86fc729c967f4ee186f
    SHA-256: a03b706e676fdfacc58b76853b97cf724bb95099df30ecd33c26d7a412b5ae48
    Size: 12.53 MB
  8. golang-tests-1.21.9-1.module+el8+1757+6b05b976.noarch.rpm
    MD5: 53716f1406ddea35286617b18c91f12d
    SHA-256: 05f9b1d50a3b28e4452f7c2988195754463eb698609b250f92dccb4f837eca1f
    Size: 8.60 MB
  9. go-toolset-1.21.9-1.module+el8+1757+6b05b976.x86_64.rpm
    MD5: db14b3d936b744afee95b068a32427dc
    SHA-256: 47356bf228c87a367f43945d7554bf685bb8b53026079526171c76a18fce631c
    Size: 13.34 kB