Rocky Linux 9grafana (RLSA-2022:8057)

high Nessus Plugin ID 170778

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2022:8057 公告中所提及。

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

- client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫，client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中，處理使用非標準 HTTP 方法的要求時，HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊，並可能耗盡記憶體。如要讓受檢測的軟體受到影響，必須滿足以下條件：使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件；
在中介軟體之前，不篩選任何特定方法 (例如 GET)；將具有 `method` 標籤名稱的指標傳遞至我們的中間件；且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用，包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱；關閉受影響的 promhttp 處理常式；在 promhttp 處理常式之前新增自訂中間件，以便審查 Go http.Request 提供的要求方法；以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的 XML 文件來造成堆疊耗盡，進而引致錯誤。(CVE-2022-28131)

- 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
(CVE-2022-30630)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。