RHEL 8:go-toolset: rhel8 (RHSA-2023: 3319)
critical Nessus 插件 ID 176392
语言:
简介
远程 Red Hat 主机缺少一个或多个 go-toolset: rhel8 安全更新。描述
远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023:3319 公告中提及的漏洞的影响。- 如果使用某些特定的未归约标量(大于曲线阶数的标量)进行调用,P256 Curve 的 ScalarMult 和 ScalarBaseMult 方法可能返回错误结果。这不会影响 crypto/ecdsa 或 crypto/ecdh 的使用。(CVE-2023-24532)
- 即使在解析小型输入时,HTTP 和 MIME 标头解析也可能会分配大量内存,从而可能导致拒绝服务。输入数据的某些异常模式可导致用于解析 HTTP 和 MIME 标头的通用函数分配远超所需的内容来保存已解析的标头。攻击者可能会利用此行为,导致 HTTP 服务器通过小型请求分配大量内存,从而可能导致内存耗尽和拒绝服务。
经修复后,标头解析现在可以正确分配所需内存来保存已解析的标头。
(CVE-2023-24534)
- 在处理包含大量部分的表单输入时,多部分表单解析可能会消耗大量 CPU 和内存。此问题由多种原因导致:1. mime/multipart.Reader.ReadForm 限制解析多部分表单可以消耗的总内存。ReadForm 可能会低估所消耗的内存量,导致它接受的输入大于预期。2. 限制总内存的做法并未考虑到包含多个部分的表单中的大量小型分配给垃圾回收器增加的压力。3.
ReadForm 可以分配大量短效缓冲区,这会进一步加大对垃圾回收器造成的压力。这些因素相结合,攻击者便可让解析多部分表单的程序消耗大量 CPU 和内存,从而可能导致拒绝服务。
这会影响使用 mime/multipart.Reader.ReadForm 的程序,也会影响使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 在 net/http 程序包中进行的表单解析。经修复后,ReadForm 现在可以更好地估算已解析表单的内存消耗量,并大幅减少短效分配。此外,经修复的 mime/multipart.Reader 会对已解析表单的大小施加以下限制:1. 使用 ReadForm 解析的表单包含的部分不超过 1,000 个。此限制可通过环境变量 GODEBUG=multipartmaxparts= 进行调整。2. 使用 NextPart 和 NextRawPart 解析的表单部分包含的标头字段不超过 10,000 个。此外,使用 ReadForm 解析的所有表单部分包含的标头字段不超过 10,000 个。此限制可通过环境变量 GODEBUG=multipartmaxheaders= 进行调整。(CVE-2023-24536)
- 在包含具有极大行号的 //line 指令的 Go 源代码中,调用任何 Parse 函数都有可能因整数溢出而造成无限循环。(CVE-2023-24537)
- 模板未正确将反引号 (`) 视为 Javascript 字符串分隔符,也未按预期对其进行转义。自 ES6 起,反引号可用于 JS 模板文本。如果模板的 Javascript 模板文本中包含 Go 模板操作,则此操作的内容可用于停用文本,进而将任意 Javascript 代码注入 Go 模板。ES6 模板文字相当复杂,且其本身可以执行字符串插入操作,因此决定简单地禁止在此类文字中使用 Go 模板操作(例如 var a = {{.}}),因为没有显然安全的方式支持此行为。此方法与 github.com/google/safehtml 相同。经修复后,Template.Parse 在遇到此类模板时会返回一个 ErrorCode 值为 12 的错误。此 ErrorCode 当前并未导出,但将在 Go 1.21 版本中导出。依赖之前行为的用户可以使用 GODEBUG 标记 jstmpllitinterp=1 重新启用它,但需要注意的是现在将对反引号进行转义。应谨慎使用此做法。(CVE-2023-24538)
- 将尖括号 (<>) 插入到 CSS 上下文中时,不会视其为危险字符。如果使用不受信任的输入执行,包含由“/”字符分隔的多个操作的模板可能会导致意外关闭 CSS 上下文并允许意外注入 HTML。(CVE-2023-24539)
- 并非所有有效的 JavaScript 空白字符都被视为空白。在 JavaScript 上下文中,在字符集 \t\n\f\r\u0020\u2028\u2029 外包含其他空白字符和操作的模板在执行期间可能未经正确审查。(CVE-2023-24540)
- 由于 HTML 规范化规则,在使用空输入执行未加引号的 HTML 属性(如 attr={{.}})中包含操作的模板可能会导致在解析时产生意想不到的输出结果。这可能允许向标记中注入任意属性。 (CVE-2023-29400)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新 RHEL go-toolset: rhel8 程序包,依据 RHSA-2023: 3319 中的指南。另见
https://access.redhat.com/errata/RHSA-2023:3319
https://access.redhat.com/security/cve/CVE-2023-24532
https://access.redhat.com/security/cve/CVE-2023-24534
https://access.redhat.com/security/cve/CVE-2023-24536
https://access.redhat.com/security/cve/CVE-2023-24537
https://access.redhat.com/security/cve/CVE-2023-24538
https://access.redhat.com/security/cve/CVE-2023-24539
插件详情
严重性: Critical
ID: 176392
文件名: redhat-RHSA-2023-3319.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/5/25
最近更新时间: 2024/1/26
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-24540
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:rhel_aus:8.8, cpe:/o:redhat:rhel_e4s:8.8, cpe:/o:redhat:rhel_eus:8.8, cpe:/o:redhat:rhel_tus:8.8, p-cpe:/a:redhat:enterprise_linux:delve, p-cpe:/a:redhat:enterprise_linux:go-toolset, p-cpe:/a:redhat:enterprise_linux:golang, p-cpe:/a:redhat:enterprise_linux:golang-bin, p-cpe:/a:redhat:enterprise_linux:golang-docs, p-cpe:/a:redhat:enterprise_linux:golang-misc, p-cpe:/a:redhat:enterprise_linux:golang-race, p-cpe:/a:redhat:enterprise_linux:golang-src, p-cpe:/a:redhat:enterprise_linux:golang-tests
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2023/5/25
漏洞发布日期: 2023/5/4
参考资料信息
CVE: CVE-2023-24532, CVE-2023-24534, CVE-2023-24536, CVE-2023-24537, CVE-2023-24538, CVE-2023-24539, CVE-2023-24540, CVE-2023-29400