go-toolset:rhel8 security fix update
エラータID: AXSA:2024-8861:01
以下項目について対処しました。
[Security Fix]
- Go の net/http モジュールの HTTP/1.1 クライアント機能
には、情報レスポンス以外のステータスで応答する際の処理
に問題があるため、リモートの攻撃者により、
「Expect: 100-continue」のヘッダーが付与されるように細工
した HTTP リクエストパケットの送信を介して、サービス
拒否攻撃 (クライアント接続の無効化) を可能とする脆弱性
が存在します。(CVE-2024-24791)
- Go の Parse() 関数には、深くネストされたリテラルを処理
する際にスタック領域を枯渇させてしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (パニックの発生)
を可能とする脆弱性が存在します。(CVE-2024-34155)
- Go の Decoder.Decode() 関数には、深くネストされた構造
を含むメッセージを処理する際、スタック領域を枯渇させて
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-34156)
- Go の Parse() 関数には、深くネストされた式を含む
"// +build" ビルド タグ行を処理する際にスタック領域を枯渇
させてしまう問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (パニックの発生) を可能とする脆弱性が
存在します。(CVE-2024-34158)
Modularity name: go-toolset
Stream name: rhel8
パッケージをアップデートしてください。
The net/http HTTP/1.1 client mishandled the case where a server responds to a request with an "Expect: 100-continue" header with a non-informational (200 or higher) status. This mishandling could leave a client connection in an invalid state, where the next request sent on the connection will fail. An attacker sending a request to a net/http/httputil.ReverseProxy proxy can exploit this mishandling to cause a denial of service by sending "Expect: 100-continue" requests which elicit a non-informational response from the backend. Each such request leaves the proxy with an invalid connection, and causes one subsequent request using that connection to fail.
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
N/A
SRPMS
- delve-1.21.2-4.module+el8+1810+f5c7057a.src.rpm
MD5: cae39be5644003404c6f579d09a6dc0b
SHA-256: 0b210d608c1164c38a1e3cd878fa14ee235bb47c6f584e6a4ea713d434b7c443
Size: 8.96 MB - golang-1.21.13-2.module+el8+1810+f5c7057a.src.rpm
MD5: 6357dade5a444e978149b4fec1a530c1
SHA-256: 6a193a46467572100038d6723f4f4e69012f02dc4ab56329cf991a5c03183c51
Size: 25.76 MB - go-toolset-1.21.13-1.module+el8+1810+f5c7057a.src.rpm
MD5: e4202ff9e8d6f7fc446a1bf07bc05676
SHA-256: 506538de02ef341c122c3caecf25134ec1eb81bf7f637c94acd86626223919b7
Size: 15.80 kB
Asianux Server 8 for x86_64
- delve-1.21.2-4.module+el8+1810+f5c7057a.x86_64.rpm
MD5: 3edd6a6ad31d5ca37f39db6ec6ef0908
SHA-256: 84e670a6b30e82d1497e96e1d5fe30c9b2f25caef3110608d08ff0e1a12ecdc4
Size: 4.57 MB - delve-debugsource-1.21.2-4.module+el8+1810+f5c7057a.x86_64.rpm
MD5: 9ef2488d25085a9ef2ca697adcfc45cf
SHA-256: a70b6a6ea123378506ced7a5889c5b7ac7b517967f1ad1d1bfbb4719487bcc33
Size: 1.11 MB - golang-1.21.13-2.module+el8+1810+f5c7057a.x86_64.rpm
MD5: 165962160d16f7ddebe95f83e25952ca
SHA-256: fa573c7583eeb5187ee2ba474ac08ceba0cebd534c624ea7d206eddc98cc4be0
Size: 756.34 kB - golang-bin-1.21.13-2.module+el8+1810+f5c7057a.x86_64.rpm
MD5: dcf1ce250947927d94bbb9d989481346
SHA-256: cc8021218b57e1a8d443794ae229fcea4cd8f94870b913519bda61df323788b4
Size: 63.62 MB - golang-docs-1.21.13-2.module+el8+1810+f5c7057a.noarch.rpm
MD5: efb69a8968c14e9fb65f5cb17125be83
SHA-256: 4cd2efae525547d5f6ed018852ca32d1c66ad89e8754bd7ff46f167515f656c9
Size: 126.85 kB - golang-misc-1.21.13-2.module+el8+1810+f5c7057a.noarch.rpm
MD5: 44311aa1b94df946c8e317780e3cb677
SHA-256: 428659fa946aa955bd57d78623f52c6aae1d2ddc8b0a77c4ffbcb1e2eed96d88
Size: 68.58 kB - golang-src-1.21.13-2.module+el8+1810+f5c7057a.noarch.rpm
MD5: 3ab0158fb3eb7cd5912d69f02e58609f
SHA-256: 9b87077007d92bc97b8cab6d2f27f9281688742a58804fafe5110cb400d0ebb3
Size: 12.45 MB - golang-tests-1.21.13-2.module+el8+1810+f5c7057a.noarch.rpm
MD5: a4d6b334d4de8c3151ca4aa9cbd32a45
SHA-256: 15ed162be61ed65f67550561f72b51d201de01d28568c1f34c3490a5e3a2b6f2
Size: 8.60 MB - go-toolset-1.21.13-1.module+el8+1810+f5c7057a.x86_64.rpm
MD5: a99c832c362b167be64e02b36d801313
SHA-256: d278b1ceced02b3190bd573fe957c39d42925cee39be2753e08ceb183cc8ea3d
Size: 13.67 kB