container-tools:rhel8 security update

以下項目について対処しました。

[Security Fix]
- Go の net/http パッケージの ParseMultipartForm() 関数には、
すべてのフォームの解析時に適用するメモリサイズの制限値
がそれぞれのフォームの解析処理時には適用されない問題
があるため、リモートの攻撃者により、非常に長い行を含む
ように細工された入力を介して、サービス拒否攻撃 (メモリ
枯渇) を可能とする脆弱性が存在します。(CVE-2023-45290)

- Go の RSA 暗号化 / 復号化の処理には、メモリリークの
問題があるため、リモートの攻撃者により、サービス拒否
攻撃 (メモリ枯渇) を可能とする脆弱性が存在します。
(CVE-2024-1394)

- Go の crypto/x509 パッケージの Certificate.Verify() 関数
には、不明な公開鍵アルゴリズムが設定された証明書を含む
証明書チェーンの検証処理に問題があるため、リモートの
攻撃者により、巧妙に細工された証明書の検証処理を介して、
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2024-24783)

- Go の net/mail パッケージの ParseAddressList() 関数には、
括弧で括られたメールアドレスの表示名内のコメントを
誤って処理してしまう問題があるため、リモートの攻撃者
により、細工されたメールアドレスの表記文字列を介して、
他のメールアドレス文字列のパーサー間との解釈の不整合、
およびこれに起因する特定できない影響を与える攻撃を
可能とする脆弱性が存在します。(CVE-2024-24784)

- Go の archive/zip パッケージには、破損したルート
ディレクトリの情報の処理に問題があるため、リモートの
攻撃者により、細工された ZIP 形式のファイルの処理を
介して、不正な ZIP 形式のファイルの生成、もしくは ZIP
形式のファイル内に隠された不正な情報へのアクセスを
可能とする脆弱性が存在します。(CVE-2024-24789)

- containers/image ライブラリには、認証されたレジストリ
へのアクセスを許容してしまう問題があるため、リモート
の攻撃者により、パストラバーサル攻撃、サービス拒否攻撃
(リソース枯渇)、およびその他の特定できない影響を及ぼす
攻撃を可能とする脆弱性が存在します。(CVE-2024-3727)

- gorilla/schema の schema.Decoder.Decode() 関数には、
[]struct{...} 型のフィールドを持つ構造体のデータをスパース
スライス機能で処理する際に意図しないメモリを確保して
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (メモリ枯渇) を可能とする脆弱性が存在します。
(CVE-2024-37298)

- go-retryablehttp には、URL のサニタイズ処理が欠落して
いるため、ローカルの攻撃者により、ログファイルへの
URL の書き込みを介して、情報の漏洩を可能とする脆弱性
が存在します。(CVE-2024-6104)

Modularity name: container-tools
Stream name: rhel8