container-tools:rhel8 security update

以下項目について対処しました。

[Security Fix]
- urllib3 には、クロスオリジンリダイレクトの際に HTTP 認証
ヘッダーを取り除いていない問題があるため、リモートの攻撃者
により、ヘッダー内の認証情報の漏洩を可能とする脆弱性が存在
します。(CVE-2018-25091)

- Go には math/big.Rat の SetStringメソッド、または
UnmarshalTextメソッドへ大きな指数を指定するとパニック
が発生する脆弱性があります。(CVE-2021-33198)

- Go の crypto/tls には、RSA ベースの鍵交換を行う際に、X.509
証明書の公開鍵のタイプが期待されたタイプと一致しているか
どうかを適切にアサートしない問題があり、悪意のある TLS
サーバーが TLS クライアントにパニックを発生させる脆弱性
があります。(CVE-2021-34558)

- golang の Reader モジュールの Read 関数には、対象とする
ファイルのヘッダーの最大サイズを制限していない問題がある
ため、リモートの攻撃者により、細工されたアーカイブファイル
による無制限のメモリ割り当てを介して、リソースの枯渇および
パニックの発生を可能とする脆弱性が存在します。
(CVE-2022-2879)

- golang には、リバースプロキシから転送されたクエリを含む
リクエストの Go プロキシの処理に問題があるため、リモートの
攻撃者により、net/http モジュールによって拒否された解析不能
なパラメーターを含むリクエストを介して、HTTP リクエスト
スマグリング攻撃を可能とする脆弱性が存在します。
(CVE-2022-2880)

- golang の regexp モジュールには、信頼できない情報元から
入力された正規表現をコンパイルする際に大量のメモリを消費
してしまう問題があるため、リモートの攻撃者により、細工
された正規表現の入力を介して、メモリの枯渇とそれに起因
するサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2022-41715)

- Go には、証明書チェーン内に含まれる RSA キーの検証に
大量の CPU リソースを消費してしまう問題があるため、
リモートの攻撃者により、非常に大きなサイズの RSA キー
を含むように細工された証明書を介して、サービス拒否攻撃
(CPU リソース枯渇) を可能とする脆弱性が存在します。
(CVE-2023-29409)

- Go の html/template モジュールには、'＜script＞' タグ内
のコメントタグ ( ) やハッシュバン ( #! ) を適切に
処理しない問題があるため、リモートの攻撃者により、
クロスサイトスクリプティング攻撃を可能とする脆弱性が
存在します。(CVE-2023-39318)

- Go の html/template モジュールには、＜script＞ タグを
用いて記載された JavaScript コード内の "＜script"、"＜!--"、
および "＜/script" を処理するためのルールが適用されない
問題があるため、リモートの攻撃者により、クロスサイト
スクリプティング攻撃を可能とする脆弱性が存在します。
(CVE-2023-39319)

- Go には、リモートの攻撃者により、不完全なポストハンド
シェイクメッセージを介して、サービス拒否攻撃 (クラッシュ
の発生) を可能とする脆弱性が存在します。(CVE-2023-39321)

- Go の QUIC プロトコルの処理には、接続後の受信メッセージ
のバッファリングデータ量に上限が設けられていない問題が
あるため、リモートの攻撃者により、サービス拒否攻撃 (メモリ
枯渇) を可能とする脆弱性が存在します。(CVE-2023-39322)

- Go の net/http エンコーディングリーダーのチャンク拡張機能
の処理には、最大 1 GiByte の本文のよりも大きいデータの読み
取りを許容してしまう問題があるため、リモートの攻撃者により、
細工された大量のデータの送信を介して、サービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2023-39326)

- Go の crypto/tls ライブラリには、RSA を利用した TLS キー
交換処理の処理時間が一定にならない math/big ライブラリが
使用されている問題があるため、リモートの攻撃者により、
タイミングサイドチャネル攻撃を可能とする脆弱性が存在
します。(CVE-2023-45287)

- urllib には、リクエスト内のメソッドを POST などの本文を
受け入れることができるメソッドから GET に変更し、かつ
レスポンスコード 301、302、および 303 を使用して HTTP
リダイレクト応答を返した際に HTTP リクエストの本文を削除
しない問題があるため、近隣ネットワーク上の攻撃者により、
情報の漏洩を可能とする脆弱性が存在します。
(CVE-2023-45803)

- OpenSSH の特定の拡張機能を利用した SSH トランスポート
プロトコルの処理には、SSH バイナリパケットプロトコルの
ハンドシェイク時に誤ったシーケンス番号を使用してしまう
問題があるため、リモートの攻撃者により、一部のセキュリティ
機能が無効化もしくはダウングレードされた状態での接続を可能
とする脆弱性が存在します。(CVE-2023-48795)

- BuildKit には、フロントエンドからの入力内容のチェック
処理に問題があるため、リモートの攻撃者により、細工された
BuildKit クライアントおよびフロントエンドを介して、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-23650)

- Buildah には、コンテナ内部からホストマシン上の任意の
ディレクトリをマウントできてしまう問題があるため、
ローカルの攻撃者により、細工された Containerfile を介して、
ホストマシン上のファイルの不正な操作を可能とする脆弱性
が存在します。(CVE-2024-1753)

- Go の protobuf モジュールの protojson.Unmarshal() 関数
には、無限ループの発生に至る問題があるため、リモート
の攻撃者により、UnmarshalOptions.DiscardUnknown
オプションが設定されている場合、もしくは
google.protobuf.Any 値を含むように細工された JSON 形式
のデータのアンマーシャル処理を介して、サービス拒否攻撃、
およびその他の特定できない影響を及ぼす攻撃を可能とする
脆弱性が存在します。(CVE-2024-24786)

- jose の Decrypt() 関数および DecryptMulti() 関数には、
リモートの攻撃者により、細工された圧縮データを含む
JWE 形式のデータの送信を介して、サービス拒否攻撃
(CPU リソースおよびメモリの枯渇) を可能とする脆弱性
が存在します。(CVE-2024-28180)

Modularity name: container-tools
Stream name: rhel8

CVE(s):
CVE-2018-25091
urllib3 before 1.24.2 does not remove the authorization HTTP header when following a cross-origin redirect (i.e., a redirect that differs in host, port, or scheme). This can allow for credentials in the authorization header to be exposed to unintended hosts or transmitted in cleartext. NOTE: this issue exists because of an incomplete fix for CVE-2018-20060 (which was case-sensitive).
CVE-2021-33198
In Go before 1.15.13 and 1.16.x before 1.16.5, there can be a panic for a large exponent to the math/big.Rat SetString or UnmarshalText method.
CVE-2021-34558
The crypto/tls package of Go through 1.16.5 does not properly assert that the type of public key in an X.509 certificate matches the expected type when doing a RSA based key exchange, allowing a malicious TLS server to cause a TLS client to panic.
CVE-2022-2879
Reader.Read does not set a limit on the maximum size of file headers. A maliciously crafted archive could cause Read to allocate unbounded amounts of memory, potentially causing resource exhaustion or panics. After fix, Reader.Read limits the maximum size of header blocks to 1 MiB.
CVE-2022-2880
Requests forwarded by ReverseProxy include the raw query parameters from the inbound request, including unparsable parameters rejected by net/http. This could permit query parameter smuggling when a Go proxy forwards a parameter with an unparsable value. After fix, ReverseProxy sanitizes the query parameters in the forwarded query when the outbound request's Form field is set after the ReverseProxy. Director function returns, indicating that the proxy has parsed the query parameters. Proxies which do not parse query parameters continue to forward the original query parameters unchanged.
CVE-2022-41715
Programs which compile regular expressions from untrusted sources may be vulnerable to memory exhaustion or denial of service. The parsed regexp representation is linear in the size of the input, but in some cases the constant factor can be as high as 40,000, making relatively small regexps consume much larger amounts of memory. After fix, each regexp being parsed is limited to a 256 MB memory footprint. Regular expressions whose representation would use more space than that are rejected. Normal use of regular expressions is unaffected.
CVE-2023-29409
Extremely large RSA keys in certificate chains can cause a client/server to expend significant CPU time verifying signatures. With fix, the size of RSA keys transmitted during handshakes is restricted to <= 8192 bits. Based on a survey of publicly trusted RSA keys, there are currently only three certificates in circulation with keys larger than this, and all three appear to be test certificates that are not actively deployed. It is possible there are larger keys in use in private PKIs, but we target the web PKI, so causing breakage here in the interests of increasing the default safety of users of crypto/tls seems reasonable.
CVE-2023-39318
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in contexts. This may cause the template parser to improperly interpret the contents of contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
CVE-2023-39319
The html/template package does not apply the proper rules for handling occurrences of " contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
CVE-2023-39321
Processing an incomplete post-handshake message for a QUIC connection can cause a panic.
CVE-2023-39322
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size.
CVE-2023-39326
A malicious HTTP sender can use chunk extensions to cause a receiver reading from a request or response body to read many more bytes from the network than are in the body. A malicious HTTP client can further exploit this to cause a server to automatically read a large amount of data (up to about 1GiB) when a handler fails to read the entire body of a request. Chunk extensions are a little-used HTTP feature which permit including additional metadata in a request or response body sent using the chunked encoding. The net/http chunked encoding reader discards this metadata. A sender can exploit this by inserting a large metadata segment with each byte transferred. The chunk reader now produces an error if the ratio of real body to encoded bytes grows too small.
CVE-2023-45287
Before Go 1.20, the RSA based TLS key exchanges used the math/big library, which is not constant time. RSA blinding was applied to prevent timing attacks, but analysis shows this may not have been fully effective. In particular it appears as if the removal of PKCS#1 padding may leak timing information, which in turn could be used to recover session key bits. In Go 1.20, the crypto/tls library switched to a fully constant time RSA implementation, which we do not believe exhibits any timing side channels.
CVE-2023-45803
urllib3 is a user-friendly HTTP client library for Python. urllib3 previously wouldn't remove the HTTP request body when an HTTP redirect response using status 301, 302, or 303 after the request had its method changed from one that could accept a request body (like `POST`) to `GET` as is required by HTTP RFCs. Although this behavior is not specified in the section for redirects, it can be inferred by piecing together information from different sections and we have observed the behavior in other major HTTP client implementations like curl and web browsers. Because the vulnerability requires a previously trusted service to become compromised in order to have an impact on confidentiality we believe the exploitability of this vulnerability is low. Additionally, many users aren't putting sensitive data in HTTP request bodies, if this is the case then this vulnerability isn't exploitable. Both of the following conditions must be true to be affected by this vulnerability: 1. Using urllib3 and submitting sensitive information in the HTTP request body (such as form data or JSON) and 2. The origin service is compromised and starts redirecting using 301, 302, or 303 to a malicious peer or the redirected-to service becomes compromised. This issue has been addressed in versions 1.26.18 and 2.0.7 and users are advised to update to resolve this issue. Users unable to update should disable redirects for services that aren't expecting to respond with redirects with `redirects=False` and disable automatic redirects with `redirects=False` and handle 301, 302, and 303 redirects manually by stripping the HTTP request body.
CVE-2023-48795
The SSH transport protocol with certain OpenSSH extensions, found in OpenSSH before 9.6 and other products, allows remote attackers to bypass integrity checks such that some packets are omitted (from the extension negotiation message), and a client and server may consequently end up with a connection for which some security features have been downgraded or disabled, aka a Terrapin attack. This occurs because the SSH Binary Packet Protocol (BPP), implemented by these extensions, mishandles the handshake phase and mishandles use of sequence numbers. For example, there is an effective attack against SSH's use of ChaCha20-Poly1305 (and CBC with Encrypt-then-MAC). The bypass occurs in chacha20-poly1305@openssh.com and (if CBC is used) the -etm@openssh.com MAC algorithms. This also affects Maverick Synergy Java SSH API before 3.1.0-SNAPSHOT, Dropbear through 2022.83, Ssh before 5.1.1 in Erlang/OTP, PuTTY before 0.80, AsyncSSH before 2.14.2, golang.org/x/crypto before 0.17.0, libssh before 0.10.6, libssh2 through 1.11.0, Thorn Tech SFTP Gateway before 3.4.6, Tera Term before 5.1, Paramiko before 3.4.0, jsch before 0.2.15, SFTPGo before 2.5.6, Netgate pfSense Plus through 23.09.1, Netgate pfSense CE through 2.7.2, HPN-SSH through 18.2.0, ProFTPD before 1.3.8b (and before 1.3.9rc2), ORYX CycloneSSH before 2.3.4, NetSarang XShell 7 before Build 0144, CrushFTP before 10.6.0, ConnectBot SSH library before 2.2.22, Apache MINA sshd through 2.11.0, sshj through 0.37.0, TinySSH through 20230101, trilead-ssh2 6401, LANCOM LCOS and LANconfig, FileZilla before 3.66.4, Nova before 11.8, PKIX-SSH before 14.4, SecureCRT before 9.4.3, Transmit5 before 5.10.4, Win32-OpenSSH before 9.5.0.0p1-Beta, WinSCP before 6.2.2, Bitvise SSH Server before 9.32, Bitvise SSH Client before 9.33, KiTTY through 0.76.1.13, the net-ssh gem 7.2.0 for Ruby, the mscdex ssh2 module before 1.15.0 for Node.js, the thrussh library before 0.35.1 for Rust, and the Russh crate before 0.40.2 for Rust.
CVE-2024-23650
BuildKit is a toolkit for converting source code to build artifacts in an efficient, expressive and repeatable manner. A malicious BuildKit client or frontend could craft a request that could lead to BuildKit daemon crashing with a panic. The issue has been fixed in v0.12.5. As a workaround, avoid using BuildKit frontends from untrusted sources.
CVE-2024-1753
A flaw was found in Buildah (and subsequently Podman Build) which allows containers to mount arbitrary locations on the host filesystem into build containers. A malicious Containerfile can use a dummy image with a symbolic link to the root filesystem as a mount source and cause the mount operation to mount the host root filesystem inside the RUN step. The commands inside the RUN step will then have read-write access to the host filesystem, allowing for full container escape at build time.
CVE-2024-24786
The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.
CVE-2024-28180
Package jose aims to provide an implementation of the Javascript Object Signing and Encryption set of standards. An attacker could send a JWE containing compressed data that used large amounts of memory and CPU when decompressed by Decrypt or DecryptMulti. Those functions now return an error if the decompressed data would exceed 250kB or 10x the compressed size (whichever is larger). This vulnerability has been patched in versions 4.0.1, 3.0.3 and 2.6.3.