RHEL 9：git-lfs (RHSA-2024:2724)

medium Nessus 插件 ID 195115

语言：

简介

远程 Red Hat 主机缺少一个或多个 git-lfs 安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:2724 公告中提及的多个漏洞影响。

- 攻击者可能会通过发送过量的 CONTINUATION 帧，造成 HTTP/2 端点读取任意数量的标头数据。维护 HPACK 状态需要解析和处理一个连接中的所有标头和 CONTINUATION 框架。如果请求的标头超过 MaxHeaderBytes，系统不会分配内存来存储超出的标头，但仍会对其进行解析。这允许攻击者导致 HTTP/2 端点读取任意数量的标头数据，所有数据都与将被拒绝的请求相关。这些标头可包含经哈夫曼 (Huffman) 解码的数据，接收者解码这些数据的成本比攻击者发送这些数据的成本高很多。此次修复对关闭连接前要处理的过量标头帧数量设定了限制。(CVE-2023-45288)

- 如果 HTTP 重定向至与子域不匹配或与初始域不完全匹配的域，http.Client 不会转发敏感标头，例如 Authorization 或 Cookie。例如，从 foo.com 重定向至 www.foo.com 会转发 Authorization 标头，但重定向至 bar.com 则不会转发此标头。- 恶意构建的 HTTP 重定向可导致意外转发敏感标头。(CVE-2023-45289)

- 解析多部分表单（使用 Request.ParseMultipartForm 显式解析，或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隐式解析）时，对已解析表单总大小的限制并未应用到读取单个表单行时消耗的内存。因此，恶意构建的包含超长行的输入可以造成任意大量内存被分配，进而可能导致内存耗尽。修复之后，ParseMultipartForm 函数现在可以正确限制表单行的最大大小。(CVE-2023-45290)

- 验证包含具有未知公钥算法证书的证书链将导致 Certificate.Verify 发生错误。这会影响所有 crypto/tls 客户端，以及将 Config.ClientAuth 设置为 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的服务器。TLS 服务器的默认行为是不验证客户端证书。(CVE-2024-24783)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。