golang-1.21.13-3.el9_4

エラータID: AXSA:2024-8826:07

リリース日: 
2024/09/24 Tuesday - 17:13
題名: 
golang-1.21.13-3.el9_4
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Go の net/http モジュールの HTTP/1.1 クライアント機能
には、情報レスポンス以外のステータスで応答する際の処理
に問題があるため、リモートの攻撃者により、
「Expect: 100-continue」のヘッダーが付与されるように細工
した HTTP リクエストパケットの送信を介して、サービス
拒否攻撃 (クライアント接続の無効化) を可能とする脆弱性
が存在します。(CVE-2024-24791)

- Go の Parse() 関数には、深くネストされたリテラルを処理
する際にスタック領域を枯渇させてしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (パニックの発生)
を可能とする脆弱性が存在します。(CVE-2024-34155)

- Go の Decoder.Decode() 関数には、深くネストされた構造
を含むメッセージを処理する際、スタック領域を枯渇させて
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-34156)

- Go の Parse() 関数には、深くネストされた式を含む
"// +build" ビルド タグ行を処理する際にスタック領域を枯渇
させてしまう問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (パニックの発生) を可能とする脆弱性が
存在します。(CVE-2024-34158)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-24791
The net/http HTTP/1.1 client mishandled the case where a server responds to a request with an "Expect: 100-continue" header with a non-informational (200 or higher) status. This mishandling could leave a client connection in an invalid state, where the next request sent on the connection will fail. An attacker sending a request to a net/http/httputil.ReverseProxy proxy can exploit this mishandling to cause a denial of service by sending "Expect: 100-continue" requests which elicit a non-informational response from the backend. Each such request leaves the proxy with an invalid connection, and causes one subsequent request using that connection to fail.
CVE-2024-34155
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
CVE-2024-34156
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
CVE-2024-34158
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. golang-1.21.13-3.el9_4.src.rpm
    MD5: e1a18eba7bbf46f1db753903cac7bb09
    SHA-256: 6e7668e6b4c5172e3cd40c30d2d8925ad2b3fbab96d92cbc77a6711bd21379a8
    Size: 25.74 MB

Asianux Server 9 for x86_64
  1. golang-1.21.13-3.el9_4.x86_64.rpm
    MD5: 4d3a33d2a3c80110255e916847fb2ffc
    SHA-256: 8104b126e50acb3489279563eea4a4382714a5874e541bea1231484dd33e6631
    Size: 669.46 kB
  2. golang-bin-1.21.13-3.el9_4.x86_64.rpm
    MD5: 6c8b6aa78e0854fb422a51c310543fcf
    SHA-256: 5e84a395480ea9cf79a7e9241c6409a3658044a04f241544bc008991c23a5c1d
    Size: 55.88 MB
  3. golang-docs-1.21.13-3.el9_4.noarch.rpm
    MD5: b1440c65c8686d65054edfd47f65ce15
    SHA-256: 5e6a0e7127de1b5e39dfd29597c233544b7796427c55e9b67b05b17c5ef07f2b
    Size: 97.27 kB
  4. golang-misc-1.21.13-3.el9_4.noarch.rpm
    MD5: 2b0ca29c5715b628c25717f308814f17
    SHA-256: a2e9aa37f9cdaff520cbe55b4a17b899b6ac5c81b284d117bac1860271d13e52
    Size: 53.20 kB
  5. golang-src-1.21.13-3.el9_4.noarch.rpm
    MD5: 2f1413e1a0677d663c375a25f3ff0439
    SHA-256: 37baa856a73c2ad81001a8c8c2fdcc8d58c983641abb3416a6aeb0c52ce0fd25
    Size: 12.32 MB
  6. golang-tests-1.21.13-3.el9_4.noarch.rpm
    MD5: 376dd12f5fec640165be6327f32104f6
    SHA-256: f58b4cbd944fa14bbea880c2cef84e38b934bda8d14eaba62a4b75dde1bf84a9
    Size: 9.80 MB
  7. go-toolset-1.21.13-3.el9_4.x86_64.rpm
    MD5: 0188d276ffa246cc4b7772d1213c088d
    SHA-256: 9396f0fda70f8daf901c944c5906144a8c0bc93740b202a7c6d459413b1669a3
    Size: 9.69 kB