buildah-1.33.9-1.el9_4
エラータID: AXSA:2024-8904:08
リリース日:
2024/10/17 Thursday - 11:55
題名:
buildah-1.33.9-1.el9_4
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Go の Parse() 関数には、深くネストされたリテラルを処理
する際にスタック領域を枯渇させてしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (パニックの発生)
を可能とする脆弱性が存在します。(CVE-2024-34155)
- Go の Decoder.Decode() 関数には、深くネストされた構造
を含むメッセージを処理する際、スタック領域を枯渇させて
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-34156)
- Go の Parse() 関数には、深くネストされた式を含む
"// +build" ビルド タグ行を処理する際にスタック領域を枯渇
させてしまう問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (パニックの発生) を可能とする脆弱性が
存在します。(CVE-2024-34158)
- Go には、FIPS モードが有効化されている環境下における
検証処理の不備に起因して、特定のファイルパスを誤って
処理してしまう問題があるため、リモートの攻撃者により、
コンテナからホスト上のファイルへの不正なアクセスや、
ホスト上のディレクトリへの不正なマウントを可能とする
脆弱性が存在します。(CVE-2024-9341)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2024-34155
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
Calling any of the Parse functions on Go source code which contains deeply nested literals can cause a panic due to stack exhaustion.
CVE-2024-34156
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.
CVE-2024-34158
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
Calling Parse on a "// +build" build tag line with deeply nested expressions can cause a panic due to stack exhaustion.
CVE-2024-9341
A flaw was found in Go. When FIPS mode is enabled on a system, container runtimes may incorrectly handle certain file paths due to improper validation in the containers/common Go library. This flaw allows an attacker to exploit symbolic links and trick the system into mounting sensitive host directories inside a container. This issue also allows attackers to access critical host files, bypassing the intended isolation between containers and the host system.
A flaw was found in Go. When FIPS mode is enabled on a system, container runtimes may incorrectly handle certain file paths due to improper validation in the containers/common Go library. This flaw allows an attacker to exploit symbolic links and trick the system into mounting sensitive host directories inside a container. This issue also allows attackers to access critical host files, bypassing the intended isolation between containers and the host system.
追加情報:
N/A
ダウンロード:
SRPMS
- buildah-1.33.9-1.el9_4.src.rpm
MD5: 9180b74afcf755089de426866bf0d8d5
SHA-256: 20cc465e0dcd01bd1d8a38474690391ea0f0d76b2905c9902be56271760e4971
Size: 17.47 MB
Asianux Server 9 for x86_64
- buildah-1.33.9-1.el9_4.x86_64.rpm
MD5: e5fc96e031f8d35259756db615845ab0
SHA-256: 3abd23368b8e21018fc4a025ba728b34c507babf70e2b10bae46cc7db42f63c3
Size: 9.41 MB - buildah-tests-1.33.9-1.el9_4.x86_64.rpm
MD5: 8070faaf421d9db2e4868a1976010a3f
SHA-256: 3e616739ea93f08ae672a96d05ebe38ff416838158ed99d667662c4ed9003f08
Size: 30.29 MB
English