6.2. Red Hat Developer Hub 1.3.0

6.2.1. Red Hat Developer Hub の依存関係の更新

CVE-2024-24790: Go 言語の標準ライブラリー net/netip に不具合が見つかりました。メソッド Is*() (IsPrivate()、IsPublic() など) は、IPv4 アドレスにマップされた IPv6 を操作するときには正しく動作しません。特にこれらのメソッドがリソースやデータへのアクセスを制御するために使用される場合、予期しない動作によって整合性と機密性の問題が発生する可能性があります。
CVE-2024-24791: Go に不具合が見つかりました。net/http モジュールは、HTTP/1.1 クライアントリクエストからの特定のサーバー応答を誤って処理します。この問題により、接続が無効になり、サービス拒否が発生する可能性があります。
CVE-2024-35255: github.com/Azure/azure-sdk-for-go/sdk/azidentity の Azure ID ライブラリーに不具合が見つかりました。この問題により、権限の昇格が可能になります。
CVE-2024-37891: Python 用の HTTP クライアントライブラリーである urllib3 に不具合が見つかりました。特定の設定では、urllib3 は Proxy-Authorization HTTP ヘッダーを認証情報を含めたヘッダーとして処理しません。この問題が原因で、cross-origin リダイレクトでヘッダーが削除されなくなります。
CVE-2024-39008: fast-loops Node.js パッケージに不具合が見つかりました。この不具合により、攻撃者は、組み込みプロパティー proto を使用して作成された objectMergeDeep 関数に引数を渡すことで、影響を受けるプロトタイプから継承するすべてのオブジェクトの動作を変更できるようになります。この問題により、サービス拒否、リモートコード実行、またはクロスサイトスクリプティングが発生する可能性があります。
CVE-2024-39249: 非同期 Node.js パッケージに不具合が見つかりました。正規表現サービス拒否 (ReDoS) 攻撃は、特別に細工された入力を解析する際に、autoinject 関数を通じて引き起こされる可能性があります。

6.2.2. RHEL 9 プラットフォーム RPM の更新

CVE-2023-52439: Linux カーネルの uio サブシステムに不具合が見つかりました。uio_open 機能におけるメモリー解放後使用の不具合により、ローカルユーザーがシステムをクラッシュさせたり、システム上で権限を昇格させたりできます。
CVE-2023-52884: Linux カーネルで、Input: cyapa - add missing input core locking to suspend/resume functions の脆弱性が解決されました。
CVE-2024-6119: OpenSSL に不具合が見つかりました。証明書名のチェックを実行するアプリケーション (サーバー証明書をチェックする TLS クライアントなど) は、無効なメモリーアドレスを読み取ろうとし、アプリケーションプロセスが異常終了する可能性があります。
CVE-2024-26739: Linux カーネルの net/sched/act_mirred.c に、解放後使用の不具合が見つかりました。これにより、クラッシュが発生する可能性があります。
CVE-2024-26929: Linux カーネルで、scsi: qla2xxx: Fix double free of fcport の脆弱性が解決されました。
CVE-2024-26930: Linux カーネルに脆弱性が見つかりました。/scsi/qla2xxx/qla_os.c ドライバーの Linux カーネルに、ポインター ha→vp_map の潜在的な二重解放が存在します。
CVE-2024-26931: Linux カーネルで、scsi: qla2xxx: Fix command flush on cable pull の脆弱性が解決されました。
CVE-2024-26947: Linux カーネルの ARM メモリー管理機能に不具合が見つかり、特定のメモリーレイアウトによってカーネルパニックが発生します。この不具合により、メモリーレイアウトを指定または変更できる攻撃者は、サービス拒否を引き起こすことができます。
CVE-2024-26991: Linux カーネルに不具合が見つかりました。属性をチェックするときに lpage_info オーバーフローが発生する可能性があります。これは、クラッシュにつながる可能性があります。
CVE-2024-27022: Linux カーネルで、fork: defer linking file vma until vma is fully initialized の脆弱性が解決されました。
CVE-2024-35895: Linux カーネルで、bpf, sockmap: Prevent lock inversion deadlock in map delete elem の脆弱性が解決されました。
CVE-2024-36016: Linux カーネルで、tty: n_gsm: fix possible out-of-bounds in gsm0_receive() の脆弱性が解決されました。
CVE-2024-36899: Linux カーネルで、gpiolib: cdev: Fix use after free in lineinfo_changed_notify の脆弱性が解決されました。
CVE-2024-38562: Linux カーネルで、wifi: nl80211: Avoid address calculations via out of bounds array indexing の脆弱性が解決されました。
CVE-2024-38570: Linux カーネルで、gfs2: Fix potential glock use-after-free on unmount の脆弱性が解決されました。
CVE-2024-38573: Linux カーネルの cppc_cpufreq_get_rate() に NULL ポインター逆参照の不具合が見つかりました。この問題により、クラッシュが発生する可能性があります。
CVE-2024-38601: Linux カーネルで、ring-buffer: Fix a race between readers and resize checks の脆弱性が解決されました。
CVE-2024-38615: Linux カーネルで、cpufreq: exit() callback is optional の脆弱性が解決されました。
CVE-2024-39331: Emacs に不具合が見つかりました。Org モードファイルが開かれているとき、または Org モードが有効になっているときに、Emacs がメールクライアントとして使用されている場合、プロンプトが表示されずに任意のシェルコマンドを実行できます。この問題は、メールの添付ファイルをプレビューするときに発生する可能性があります。
CVE-2024-40984: Linux カーネルで、ACPICA: Revert "ACPICA: avoid Info: mapping multiple BARs Your kernel is fine." の脆弱性が解決されました。
CVE-2024-41071: SSID をスキャンするときに、Linux カーネルの mac80211 サブシステムで、境界外バッファーオーバーフローが見つかりました。境界外の配列インデックスを使用したアドレス計算により、攻撃者がエクスプロイトを作成し、システムのセキュリティーが完全に危険にさらされる可能性があります。
CVE-2024-42225: Linux カーネルの MediaTek WiFi に、初期化されていないデータを再利用するという潜在的な不具合が見つかりました。この不具合により、ローカルユーザーが一部のデータに不正アクセスできる可能性があります。
CVE-2024-42246: Linux カーネルで、net, sunrpc: Remap EPERM in case of connection failure in xs_tcp_setup_socket の脆弱性が解決されました。
CVE-2024-45490: libexpat の xmlparse.c コンポーネントに不具合が見つかりました。この脆弱性により、攻撃者は XML_ParseBuffer 関数に負の長さの値を提供することで、XML データの不適切な処理を引き起こす可能性があります。
CVE-2024-45491: xmlparse.c の libexpat の内部 dtdCopy 関数に問題が見つかりました。UINT_MAX が SIZE_MAX に等しい 32 ビットプラットフォームで nDefaultAtts の整数オーバーフローが発生する可能性があります。
CVE-2024-45492: xmlparse.c の libexpat の内部 nextScaffoldPart 関数に不具合が見つかりました。UINT_MAX が SIZE_MAX に等しい 32 ビットプラットフォームでは、m_groupSize の整数オーバーフローが発生する可能性があります。

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.