第 6 章 修复了安全问题
本节列出了 Red Hat Developer Hub 1.3 中修复的安全问题。
6.1. Red Hat Developer Hub 1.3.0
6.1.1. Red Hat Developer Hub 依赖项更新
- CVE-2024-21536
- http-proxy-middleware 软件包中发现了一个安全漏洞。因为 UnhandledPromiseRejection 错误导致这个软件包的拒绝拒绝服务(DoS)受到微匹配的影响。通过这个漏洞,攻击者可以通过请求某些路径来终止 Node.js 进程并使服务器崩溃。
- CVE-2024-37890
- 在 Node.js WebSocket 库(ws)中发现了一个安全漏洞。带有多个标头超过 'server.maxHeadersCount' 阈值的请求可能会导致 ws 服务器崩溃,从而导致拒绝服务。
- CVE-2024-45590
- 在 body-parser 中发现了一个安全漏洞。此漏洞会在启用 URL 编码时通过特殊设计的有效负载拒绝服务。
6.1.2. RHEL 9 平台 RPM 更新
- CVE-2021-47385
- 在 Linux 内核中,以下漏洞已被解决: hwmon: (w83792d) Fix NULL pointer dereference by delete unnecessary structure 项
- CVE-2023-28746
- 在某些 Intel Atom Processor 的 microcode 中发现了一个漏洞。此问题可能允许恶意参与者实现本地信息披露,从而影响目标系统的数据保密性。
- CVE-2023-52658
- 在 Linux 内核中,解决了以下漏洞:Revert "net/mlx5: Block enter switchdev mode with nsconsistency"
- CVE-2024-6232
- Python 的 tarfile 模块中发现了一个正则表达式拒绝服务(ReDos)漏洞。由于在 tar 文件解析标头时过度跟踪,攻击者可以通过特制的 tar 归档触发拒绝服务。
- CVE-2024-9355
- Golang FIPS OpenSSL 中发现了一个漏洞。这个漏洞允许恶意用户随机导致在 FIPS 模式中返回零缓冲区长度变量的未初始化缓冲区长度变量。当一个可信计算的 hmac 总和不被信任的输入总和(如果攻击者发送零个缓冲区位于预计算总和)时,也可以强制在非等哈希之间强制出现假的正匹配。 也可以强制派生的密钥为零,而不是无法预测的值。 这可能会对 Go TLS 堆栈造成以下影响。
- CVE-2024-27403
- 在 Linux 内核中,以下漏洞已被解决: netfilter: nft_flow_offload: 在设置流后在路由对象中重置 dst
- CVE-2024-34156
- Golang 标准库的 encoding/gob 软件包中发现了一个安全漏洞。调用 Decoder.Decoding,包含深度嵌套结构的消息可能会导致因为堆栈耗尽而出现 panic。这是 CVE-2022-30635 的后续。
- CVE-2024-35989
- 在 Linux 内核中,解决了以下漏洞:dmaengine: idxd: Fix oops 在单 CPU 平台上的 rmmod
- CVE-2024-36889
- 在 Linux 内核中,解决了以下漏洞:mptcp: ensure snd_nxt 在连接时正确初始化
- CVE-2024-36978
- 在 Linux 内核中,以下漏洞已被解决:net: sched: sch_multiq: fix possible OOB write in multiq_tune ()
- CVE-2024-38556
- 在 Linux 内核中,解决了以下漏洞:net/mlx5: 添加一个超时来获取命令队列 semaphore
- CVE-2024-39483
- 在 Linux 内核中,以下漏洞已被解决: KVM: SVM: SVM: WARN on vNMI + NMI window iff NMIs are outright masked
- CVE-2024-39502
- 在 Linux 内核中,以下漏洞已被解决: ionic: fix use after netif_napi_del ()
- CVE-2024-40959
- 在 Linux 内核中,以下漏洞已被解决:xfrm6: check ip6_dst_idev ()返回值 xfrm6_get_saddr ()
- CVE-2024-42079
- 在 Linux 内核中,以下漏洞已被解决:gfs2: Fix NULL pointer dereference in gfs2_log_flush
- CVE-2024-42272
- 在 Linux 内核中,以下漏洞已被解决:sched: act_ct: 处理 struct zones_ht_key 中的 padding
- CVE-2024-42284
- 在 Linux 内核中,解决了以下漏洞: tipc: return non-zero value from tipc_udp_addr2str ()on error
