buildah-1.37.5-1.el9

エラータID: AXSA:2024-9332:10

リリース日: 
2024/12/12 Thursday - 23:24
題名: 
buildah-1.37.5-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Go の Parse() 関数には、深くネストされたリテラルを処理
する際にスタック領域を枯渇させてしまう問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (パニックの発生)
を可能とする脆弱性が存在します。(CVE-2024-34155)

- Go の Decoder.Decode() 関数には、深くネストされた構造
を含むメッセージを処理する際、スタック領域を枯渇させて
しまう問題があるため、リモートの攻撃者により、サービス
拒否攻撃 (パニックの発生) を可能とする脆弱性が存在します。
(CVE-2024-34156)

- Go の Parse() 関数には、深くネストされた式を含む
"// +build" ビルド タグ行を処理する際にスタック領域を
枯渇させてしまう問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (パニックの発生) を可能とする脆弱性が
存在します。(CVE-2024-34158)

- Go には、FIPS モードが有効化されている環境下における
検証処理の不備に起因して、特定のファイルパスを誤って処理
してしまう問題があるため、リモートの攻撃者により、コンテナ
からホスト上のファイルへの不正なアクセスや、ホスト上の
ディレクトリへの不正なマウントを可能とする脆弱性が存在
します。(CVE-2024-9341)

- podman および buildah の Dockerfile の RUN --mount
コマンドの bind-propagation オプションには、入力値の
チェック処理の不備に起因して任意のパラメーターを引き渡せて
しまうの問題があるため、ローカルの攻撃者により、細工された
Dockerfile の実行を介して、SELinux の保護を迂回し、不正な
ディレクトリのマウントや、ディレクトリ内のファイルの改ざん
を可能とする脆弱性が存在します。(CVE-2024-9407)

- Buildah のキャッシュマウント機能には、指定したパスが
キャッシュディレクトリ内にあるかどうかを適切に検証しない
問題があるため、ローカルの攻撃者により、Dockerfile の RUN
命令を用いてホスト上の任意のディレクトリのマウントを可能と
する脆弱性が存在します。(CVE-2024-9675)

- Podman、Buildah、および CRI-O が利用している Go の
containers/storage ライブラリには、シンボリックリンク
トラバーサル攻撃を許容してしまう問題があるため、リモート
の攻撃者により、自動的に割り当てられるユーザー名前空間を
持つように細工されたコンテナイメージの実行を介して、任意
のファイルの読み取り、およびサービス拒否攻撃 (メモリ枯渇)
を可能とする脆弱性が存在します。(CVE-2024-9676)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. buildah-1.37.5-1.el9.src.rpm
    MD5: 0bb22233c487bf20393acc5494b76bf0
    SHA-256: d432e6b157067844754a274cc82490a60deb3ed29f4b6d6ad1189cd3ed29ca4b
    Size: 18.16 MB

Asianux Server 9 for x86_64
  1. buildah-1.37.5-1.el9.x86_64.rpm
    MD5: 0d76e3326b2c6e5a6eef57ef93fe068a
    SHA-256: 6cbd7e520dbe1935a7e8097a2832639460e547a3fc7f1478abf277a12e9e9ceb
    Size: 10.93 MB
  2. buildah-tests-1.37.5-1.el9.x86_64.rpm
    MD5: 0574833f4d55e90bfb88d84b3fb70e0e
    SHA-256: cf06b3fde7655ce46d2dae1619f678fdd43ba640dc45018cf0d3d70acce2e3bb
    Size: 33.78 MB