偵測

Oracle Linux 9 : golang (ELSA-2024-2562)

high Nessus Plugin ID 195158

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 9 主機中安裝的套件受到 ELSA-2024-2562 公告中提及的多個弱點影響。

 - 剖析多部分表單時 (使用 Request.ParseMultipartForm 明確,或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隱含),對剖析表單總大小的限制未套用至讀取單一表單時所消耗的記憶體表單行。此動作會允許含有極長行的惡意特製輸入造成配置任意大量記憶體,進而可能導致記憶體耗盡。透過修正,ParseMultipartForm 函式現在會正確限製表單行的大小上限。(CVE-2023-45290)

 - 如果從 MarshalJSON 方法傳回的錯誤包含使用者控制的資料,這些錯誤可用來中斷 html/template 套件的內容相關自動逸出行為,進而允許後續動作將未預期的內容插入範本。(CVE-2024-24785)

 - 在 Golang 的 RSA 加密/解密程式碼中發現記憶體流失缺陷,使用攻擊者控制的輸入可觸發資源耗盡弱點。記憶體流失發生於 github.com/golang-fips/openssl/openssl/rsa.go#L113 中。流失的物件是 pkey 和 ctx。如果初始化內容或設定不同屬性時發生錯誤,該函式會使用指定型傳回參數釋放 pkey 和 ctx。所有與錯誤案例相關的傳回陳述式都遵循 return nil、nil、fail(...) 模式,這表示 pkey 和 ctx 在應該釋放的延遲函式內將為 nil。(CVE-2024-1394)

 - 使用不明公用金鑰算法驗證含有憑證的憑證鏈時,會造成 Certificate.Verify 發生錯誤。這會影響所有 crypto/tls 用戶端,以及將 Config.ClientAuth 設為 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的伺服器。TLS 伺服器的預設行為是不驗證用戶端憑證。(CVE-2024-24783)

 - 跟隨 HTTP 重新導向至不符合子網域的網域或不完全符合初始網域的網域時,http.Client 不會轉送敏感標頭,例如 Authorization 或 Cookie。例如,從 foo.com 重新導向至 www.foo.com 會轉送授權標頭,但重新導向至 bar.com 則不會。惡意的特質 HTTP 重新導向可導致意外轉送敏感標頭。(CVE-2023-45289)

 - ParseAddressList 函式未正確處理顯示名稱內的註解 (括號內的文字)。
 由於此操作不符合一致性位址剖析器的要求,或會導致使用不同剖析器的程式做出不同的信任決策。(CVE-2024-24784)

 - 攻擊者可透過傳送過量的 CONTINUATION 框架,造成 HTTP/2 端點讀取任意數量的標頭資料。系統需要剖析並處理連線上的所有 HEADERS 和 CONTINUATION 框架才能維持 HPACK 狀態。若要求的標頭超過 MaxHeaderBytes,系統不會配置記憶體來儲存多餘的標頭,但仍會剖析這些標頭。這允許攻擊者造成 HTTP/2 端點讀取任意數量的標頭資料,所有資料都與即將遭到拒絕的要求相關。這些標頭可能包含經過 Huffman 編碼的資料,接收者解碼這些資料的成本遠高於攻擊者傳送的成本。此修正會針對我們在關閉連線之前需要處理的多餘標頭框架設定數量限制。(CVE-2023-45288)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-2562.html

Plugin 詳細資訊

嚴重性: High

ID: 195158

檔案名稱: oraclelinux_ELSA-2024-2562.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/5/8

已更新: 2024/5/10

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 6.1

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 評分資料來源: CVE-2024-24785

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2024-1394

弱點資訊

CPE: p-cpe:/a:oracle:linux:golang, p-cpe:/a:oracle:linux:golang-src, p-cpe:/a:oracle:linux:golang-docs, p-cpe:/a:oracle:linux:golang-misc, p-cpe:/a:oracle:linux:go-toolset, p-cpe:/a:oracle:linux:golang-tests, cpe:/a:oracle:linux:9::appstream, p-cpe:/a:oracle:linux:golang-bin, cpe:/o:oracle:linux:9

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2024/5/7

弱點發布日期: 2024/3/5

參考資訊

CVE: CVE-2023-45288, CVE-2023-45289, CVE-2023-45290, CVE-2024-1394, CVE-2024-24783, CVE-2024-24784, CVE-2024-24785

IAVB: 2024-B-0020-S, 2024-B-0032-S