git-lfs-3.6.1-1.el9
エラータID: AXSA:2025-10212:04
以下項目について対処しました。
[Security Fix]
- Go には、リモートの攻撃者により、不完全なポストハンドシェイク
メッセージを介して、サービス拒否攻撃 (クラッシュの発生) を可能と
する脆弱性が存在します。(CVE-2023-39321)
- Go の QUIC プロトコルの処理には、接続後の受信メッセージの
バッファリングデータ量に上限が設けられていない問題があるため、
リモートの攻撃者により、サービス拒否攻撃 (メモリ枯渇) を可能と
する脆弱性が存在します。(CVE-2023-39322)
- Go の net パッケージの Lookup() 関数には、無限ループの発生に
至る問題があるため、リモートの攻撃者により、細工された DNS
メッセージを介して、サービス拒否攻撃 (リソースの枯渇) を可能と
する脆弱性が存在します。(CVE-2024-24788)
- Go の net/netip モジュールの複数の Is 関数 (IsPrivate() 関数、
IsLoopback() 関数など) には、IPv4 アドレスにマッピングされた
IPv6 アドレスに対して誤った判定結果を返してしまう問題があるため、
ローカルの攻撃者により、不正なネットワークアクセスを可能とする
脆弱性が存在します。(CVE-2024-24790)
- Go の net/http モジュールの HTTP/1.1 クライアント機能には、
情報レスポンス以外のステータスで応答する際の処理に問題があるため、
リモートの攻撃者により、「Expect: 100-continue」のヘッダーが
付与されるように細工した HTTP リクエストパケットの送信を介して、
サービス拒否攻撃 (クライアント接続の無効化) を可能とする脆弱性が
存在します。(CVE-2024-24791)
- Go の FIPS モードには、初期化されていないサイズが設定された
バッファーを返してしまう不備に起因して、ハッシュ値を誤って比較して
しまう問題があるため、ローカルの攻撃者により、不正な認証、および
情報の漏洩などを可能とする脆弱性が存在します。(CVE-2024-9355)
パッケージをアップデートしてください。
Processing an incomplete post-handshake message for a QUIC connection can cause a panic.
QUIC connections do not set an upper bound on the amount of data buffered when reading post-handshake messages, allowing a malicious QUIC connection to cause unbounded memory growth. With fix, connections now consistently reject messages larger than 65KiB in size.
A malformed DNS message in response to a query can cause the Lookup functions to get stuck in an infinite loop.
The various Is methods (IsPrivate, IsLoopback, etc) did not work as expected for IPv4-mapped IPv6 addresses, returning false for addresses which would return true in their traditional IPv4 forms.
The net/http HTTP/1.1 client mishandled the case where a server responds to a request with an "Expect: 100-continue" header with a non-informational (200 or higher) status. This mishandling could leave a client connection in an invalid state, where the next request sent on the connection will fail. An attacker sending a request to a net/http/httputil.ReverseProxy proxy can exploit this mishandling to cause a denial of service by sending "Expect: 100-continue" requests which elicit a non-informational response from the backend. Each such request leaves the proxy with an invalid connection, and causes one subsequent request using that connection to fail.
A vulnerability was found in Golang FIPS OpenSSL. This flaw allows a malicious user to randomly cause an uninitialized buffer length variable with a zeroed buffer to be returned in FIPS mode. It may also be possible to force a false positive match between non-equal hashes when comparing a trusted computed hmac sum to an untrusted input sum if an attacker can send a zeroed buffer in place of a pre-computed sum. It is also possible to force a derived key to be all zeros instead of an unpredictable value. This may have follow-on implications for the Go TLS stack.
N/A
SRPMS
- git-lfs-3.6.1-1.el9.src.rpm
MD5: 4bb624f4b632822fce75178b456a2683
SHA-256: bd7df6f451bccb3b231d108c8f1bc25f00cdeed8a5784c4a95953c66e8190841
Size: 3.45 MB
Asianux Server 9 for x86_64
- git-lfs-3.6.1-1.el9.x86_64.rpm
MD5: ab48a51bf34e347bc07b1f34b8622596
SHA-256: 82728f47aabfd3aaf358bad21e62da1bc6e29a7046b9634a90dad52874afb9cf
Size: 4.46 MB
English