podman-4.9.4-13.el9_4
エラータID: AXSA:2024-8900:09
リリース日:
2024/10/16 Wednesday - 13:43
題名:
podman-4.9.4-13.el9_4
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Go の Parse() 関数には、深くネストされたリテラルを処理
する際にスタック領域を枯渇させてしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (パニックの発生)
を可能とする脆弱性が存在します。(CVE-2024-34155)
- Go の Decoder.Decode() 関数には、深くネストされた構造
を含むメッセージを処理する際、スタック領域を枯渇させて
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-34156)
- Go の Parse() 関数には、深くネストされた式を含む
"// +build" ビルド タグ行を処理する際にスタック領域を枯渇
させてしまう問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (パニックの発生) を可能とする脆弱性が
存在します。(CVE-2024-34158)
- Go には、FIPS モードが有効化されている環境下における
検証処理の不備に起因して、特定のファイルパスを誤って
処理してしまう問題があるため、リモートの攻撃者により、
コンテナからホスト上のファイルへの不正なアクセスや、
ホスト上のディレクトリへの不正なマウントを可能とする
脆弱性が存在します。(CVE-2024-9341)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2024-34155
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
CVE-2024-34156
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
CVE-2024-34158
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
CVE-2024-9341
A flaw was found in Go. When FIPS mode is enabled on a system, container runtimes may incorrectly handle certain file paths due to improper validation in the containers/common Go library. This flaw allows an attacker to exploit symbolic links and trick the system into mounting sensitive host directories inside a container. This issue also allows attackers to access critical host files, bypassing the intended isolation between containers and the host system.
A flaw was found in Go. When FIPS mode is enabled on a system, container runtimes may incorrectly handle certain file paths due to improper validation in the containers/common Go library. This flaw allows an attacker to exploit symbolic links and trick the system into mounting sensitive host directories inside a container. This issue also allows attackers to access critical host files, bypassing the intended isolation between containers and the host system.
追加情報:
N/A
ダウンロード:
SRPMS
- podman-4.9.4-13.el9_4.src.rpm
MD5: 0fb984e0844cd83f2c2ae4d77049967f
SHA-256: 6f4d7f6d3283e32d87f7de64931b0cd7b97528fbe8a5b427fae5e2f7fa3976f3
Size: 22.76 MB
Asianux Server 9 for x86_64
- podman-4.9.4-13.el9_4.x86_64.rpm
MD5: 3f6c94dbb5814efe22ca9e9289e176b5
SHA-256: e2f8a6f7d80e79d30c4799bc15bcd9f6479c0635ecd574b0c7a89ca7c94ebf03
Size: 15.58 MB - podman-docker-4.9.4-13.el9_4.noarch.rpm
MD5: 86c962ff8edfa6f5e7ca54bb25bb70bd
SHA-256: b263253b316f0990aeda1b1413a1a056f1b901147c390c397ed2fc5292338580
Size: 105.80 kB - podman-plugins-4.9.4-13.el9_4.x86_64.rpm
MD5: de7967f7d15c37e500b3263faa638994
SHA-256: 98efeb5591ed0400caf53004e4eac21163d303ed2fbe99ec7808553cdbf34515
Size: 1.28 MB - podman-remote-4.9.4-13.el9_4.x86_64.rpm
MD5: b04ff8634575d6eec43a125d31689608
SHA-256: ce01f02b8c99684c76a15cc3e4af23e160bff50c2cb6e37fb30632102be791de
Size: 10.24 MB - podman-tests-4.9.4-13.el9_4.x86_64.rpm
MD5: 7473c9e1399aa6c86a125f02e505f230
SHA-256: cb823bae6a0d5844668f2aa741b2a97265376e8d1b7883ecc259255d68ed12f3
Size: 210.40 kB
English