osbuild-composer-132.2-1.el9_6.ML.1

エラータID: AXSA:2025-10577:05

リリース日: 
2025/07/24 Thursday - 11:08
題名: 
osbuild-composer-132.2-1.el9_6.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- golang-jwt の parse.ParseUnverified() 関数には、指定された引数
を制限なくピリオド文字で分割してしまう問題があるため、リモートの
攻撃者により、多数のピリオド文字が続く Bearer が設定されるように
細工された Authorization ヘッダーの処理を介して、サービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2025-30204)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-30204
golang-jwt is a Go implementation of JSON Web Tokens. Starting in version 3.2.0 and prior to versions 5.2.2 and 4.5.2, the function parse.ParseUnverified splits (via a call to strings.Split) its argument (which is untrusted data) on periods. As a result, in the face of a malicious request whose Authorization header consists of Bearer followed by many period characters, a call to that function incurs allocations to the tune of O(n) bytes (where n stands for the length of the function's argument), with a constant factor of about 16. This issue is fixed in 5.2.2 and 4.5.2.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. osbuild-composer-132.2-1.el9_6.ML.1.src.rpm
    MD5: 42c6969bbec8842a59c1f13ef34f3bf5
    SHA-256: 7696cbe43cd835b377ec2f981b0c24f725bc4f1930c48106570a665530f66e03
    Size: 62.84 MB

Asianux Server 9 for x86_64
  1. osbuild-composer-132.2-1.el9_6.ML.1.x86_64.rpm
    MD5: 87c91533a78e0e7fb0fc852610a71adc
    SHA-256: 5c3f43fa43f305923775b30ff538fd08898b18193504251e75b3eeaa9a5351d3
    Size: 21.69 kB
  2. osbuild-composer-core-132.2-1.el9_6.ML.1.x86_64.rpm
    MD5: a30d7eca209003bedab45215b928692d
    SHA-256: d8e1933f2abb07de37a21f80059d726d39f2c0fa27fb8ff71d15f86e880196ba
    Size: 14.64 MB
  3. osbuild-composer-worker-132.2-1.el9_6.ML.1.x86_64.rpm
    MD5: b674b6649a0c3c3d6a6f84013d1b87ea
    SHA-256: 12fa66c0dd5174f3f1654356c1aa8ec00026095dc92b82587eefd99a05a68a4d
    Size: 26.14 MB