サポートコンソール開発者トライアルの開始お問い合わせ

第6章 修正されたセキュリティーの問題

このセクションには、Red Hat Developer Hub 1.3 で修正されたセキュリティー問題が記載されています。

6.1. Red Hat Developer Hub 1.4.0

6.1.1. Red Hat Developer Hub の依存関係の更新

CVE-2024-47068
Regular Expression Denial of Service (ReDoS)の脆弱性が、Node.js のクロス生成パッケージで発見されました。不正な入力サニタイズにより、攻撃者は CPU 使用率を増やし、特別に細工された文字列でプログラムをクラッシュできます。

6.1.2. RHEL 9 プラットフォーム RPM の更新

CVE-2024-0450
Python/CPython の 'zipfile' に、zip 爆弾タイプの攻撃を可能にする不具合が見つかりました。攻撃者が zip 形式ファイルを作成し、処理時にサービス拒否を引き起こす可能性があります。
CVE-2024-47068
libgcrypt の RSA 実装でタイミングベースのサイドチャネルの不具合が見つかりました。この問題により、リモートの攻撃者が Bleichenbacher スタイルの攻撃を開始できるようになり、RSA 暗号文が復号化される可能性があります。
CVE-2024-47068
RADIUS (Remote Authentication Dial-In User Service)プロトコルの脆弱性により、攻撃者は Message-Authenticator 属性が適用されていない場合に認証の対応を行うことができます。この問題は、MD5 を使用した暗号で安全でない整合性チェックによって生じ、攻撃者は UDP ベースの RADIUS 応答パケットを偽装できます。これにより、Access-Accept 応答への Access-Reject 応答を変更すると、不正アクセスが発生し、認証プロセスが損なわれる可能性があります。
CVE-2024-47068
github.com/containers/image ライブラリーに欠陥が見つかりました。この欠陥により、攻撃者は被害ユーザーの代わりに予期しない認証済みレジストリーアクセスをトリガーすることができ、リソース枯渇やローカルパスのトラバーサルなどの攻撃を引き起こす可能性があります。
CVE-2024-6104
go-retryablehttp に脆弱性が見つかりました。パッケージは、ログへの書き込み時に URL データをクリーンアップしないことによる入力サニタイズの欠如の影響を受ける可能性があります。この問題により、機密性の高い認証情報が公開される可能性がありました。
CVE-2024-47068
Python の zipfile モジュールに欠陥が見つかりました。zip アーカイブのエントリーを繰り返し処理すると、プロセスは無限ループ状態になり、応答しなくなる可能性があります。この欠陥により、攻撃者は悪意のある ZIP アーカイブを作成し、zipfile モジュールを使用するアプリケーションからのサービス拒否につながる可能性があります。ユーザーが制御する zip アーカイブを処理するアプリケーションのみが、この脆弱性の影響を受けます。
CVE-2024-47068
Go stdlib の net パッケージに欠陥が見つかりました。不正な DNS メッセージがクエリーへの応答として受信されると、net パッケージ内のルックアップ関数は無限ループでスタックする可能性があります。この問題により、リソースの枯渇やサービス拒否(DoS)の状態が発生する可能性があります。
CVE-2024-24791
Go に不具合が見つかりました。net/http モジュールは、HTTP/1.1 クライアントリクエストからの特定のサーバー応答を誤って処理します。この問題により、接続が無効になり、サービス拒否が発生する可能性があります。
CVE-2024-47068
Emacs に不具合が見つかりました。Emacs が電子メールクライアントとして使用される場合、インラインの MIME アタッチメントはデフォルトで信頼されていると見なされ、作成された LaTeX ドキュメントがディスク領域や /tmp ディレクトリーが配置されているパーティションに割り当てられた inode を枯渇できるようにします。この問題により、サービス拒否(DoS)が発生する可能性があります。
CVE-2024-47068
Emacs に不具合が見つかりました。Emacs が電子メールクライアントとして使用されると、電子メールに添付された作成済みの LaTeX ドキュメントのプレビューで、ディスク領域または /tmp ディレクトリーが配置されているパーティションに割り当てられた inode が枯渇する可能性があります。この問題により、サービス拒否(DoS)が発生する可能性があります。
CVE-2024-47068
Emacs に不具合が見つかりました。組織モードは、リモートシステムの TRAMP で開かれるファイルなど、リモートファイルのコンテンツが信頼できるとみなし、任意のコードが実行されます。
CVE-2024-47068
Linux カーネルでは、次の脆弱性が解決されました:net: nexthop: Initialize all fields in dumped nexthops
CVE-2024-47068
Linux カーネルでは、KVM: s390: fix validity interception issues when gisa がオフになっている脆弱性が解決されました。
CVE-2024-47068
Linux カーネルでは、iommufd: Require drivers to provide the cache_invalidate_user ops の脆弱性が解決されました。
CVE-2024-47068
Linux カーネルでは、mptcp: pm: Fix uaf in __timer_delete_sync の脆弱性が解決されました。
CVE-2024-47068
Expat (libexpat)にセキュリティー上の問題が見つかりました。XML_StopParser の未起動パーサーを停止または一時停止できるため、XML_ResumeParser 関数でクラッシュがトリガーされ、サービス拒否が生じる可能性があります。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.