公告ID(KYSA-202504-1040)
公告ID:KYSA-202504-1040
公告摘要:podman安全漏洞
等級(jí):重要
發(fā)布日期:2025-04-01
詳細(xì)介紹
1.修復(fù)的漏洞
·CVE-2022-1962
描述:Google Golang是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型、編譯型語言�。Go的語法接近C語言,但對(duì)于變量的聲明有所不同���。Go支持垃圾回收功能����。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程(CSP)為基礎(chǔ)��,采取類似模型的其他語言包括Occam和Limbo�,但它也具有Pi運(yùn)算的特征,比如通道傳輸���。在1.8版本中開放插件(Plugin)的支持��,這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)�����。Google Golang 1.18.4-r0之前版本存在安全漏洞����,該漏洞源于攻擊者可以通過go/parser Parse導(dǎo)致Go的致命錯(cuò)誤�����,以觸發(fā)拒絕服務(wù)���。
·CVE-2022-32189
描述:Google Golang是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型���、編譯型語言。Go的語法接近C語言����,但對(duì)于變量的聲明有所不同。Go支持垃圾回收功能�。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程(CSP)為基礎(chǔ),采取類似模型的其他語言包括Occam和Limbo�,但它也具有Pi運(yùn)算的特征,比如通道傳輸�����。在1.8版本中開放插件(Plugin)的支持����,這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)。Google Golang 存在安全漏洞�,該漏洞源于過短的編碼消息可能會(huì)導(dǎo)致 big.Float 和 big.Rat 中的 math/big 出現(xiàn)恐慌,從而導(dǎo)致拒絕服務(wù)�。
·CVE-2022-41715
描述:Google Golang是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型、編譯型語言����。Go的語法接近C語言�����,但對(duì)于變量的聲明有所不同���。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程(CSP)為基礎(chǔ)��,采取類似模型的其他語言包括Occam和Limbo��,但它也具有Pi運(yùn)算的特征�����,比如通道傳輸�。在1.8版本中開放插件(Plugin)的支持,這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)��。?
Google Golang 存在安全漏洞�����,該漏洞源于regexp/syntax限制解析正則表達(dá)式時(shí)使用的內(nèi)存���。
·CVE-2023-45290
描述:Google Go是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型���、編譯型�、并發(fā)型�,并具有垃圾回收功能的編程語言。
Google Go 存在安全漏洞��,該漏洞源于允許用戶輸入大量字符����,導(dǎo)致分配大量的內(nèi)存�,從而可能導(dǎo)致內(nèi)存耗盡。
·CVE-2024-24783
描述:Google Go是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型��、編譯型�����、并發(fā)型�����,并具有垃圾回收功能的編程語言��。
Google Go 存在安全漏洞,該漏洞源于驗(yàn)證包含具有未知公鑰算法的證書的證書鏈將導(dǎo)致 Certificate.Verify 出現(xiàn)恐慌���。
·CVE-2024-24785
描述:Google Go是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型�、編譯型�、并發(fā)型,并具有垃圾回收功能的編程語言��。
Google Go 存在安全漏洞��。攻擊者利用該漏洞將意外內(nèi)容注入到模板中�。
·CVE-2024-24791
描述:Google Golang是美國谷歌(Google)公司的一種靜態(tài)強(qiáng)類型、編譯型語言�。Go的語法接近C語言,但對(duì)于變量的聲明有所不同�����。Go支持垃圾回收功能�。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程(CSP)為基礎(chǔ),采取類似模型的其他語言包括Occam和Limbo���,但它也具有Pi運(yùn)算的特征��,比如通道傳輸����。在1.8版本中開放插件(Plugin)的支持,這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)���。
Google Golang存在安全漏洞�,該漏洞源于客戶端錯(cuò)誤處理帶有Expect:100-continue標(biāo)頭的請(qǐng)求�,可能導(dǎo)致客戶端連接處于無效狀態(tài),進(jìn)而導(dǎo)致拒絕服務(wù)��。
·CVE-2024-9355
描述:Golang FIPS OpenSSL中發(fā)現(xiàn)了一個(gè)漏洞����。此漏洞允許惡意用戶在FIPS模式下隨機(jī)返回緩沖區(qū)為零的未初始化緩沖區(qū)長度變量��。如果攻擊者可以發(fā)送一個(gè)清零的緩沖區(qū)來代替預(yù)先計(jì)算的總和��,那么在將可信的計(jì)算出的hmac總和與不可信的輸入總和進(jìn)行比較時(shí)��,也可能強(qiáng)制非相等哈希之間進(jìn)行誤報(bào)匹配�。也可以強(qiáng)制派生密鑰為全零,而不是不可預(yù)測(cè)的值�。這可能會(huì)對(duì)Go TLS堆棧產(chǎn)生后續(xù)影響。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
·loongarch64架構(gòu):
python3-pypodman����、podman-help���、podman、podman-docker����、python3-podman
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2403
·loongarch64架構(gòu):
python3-pypodman、podman-help���、podman�����、podman-docker���、python3-podman
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 (loongarch64)
python3-podman-0.10.1-10.p02.a.ky10或以上版本
podman-help-0.10.1-10.p02.a.ky10或以上版本
podman-0.10.1-10.p02.a.ky10或以上版本
podman-docker-0.10.1-10.p02.a.ky10或以上版本
python3-pypodman-0.10.1-10.p02.a.ky10或以上版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2403 (loongarch64)
python3-podman-0.10.1-10.p02.a.ky10或以上版本
podman-help-0.10.1-10.p02.a.ky10或以上版本
podman-0.10.1-10.p02.a.ky10或以上版本
podman-docker-0.10.1-10.p02.a.ky10或以上版本
python3-pypodman-0.10.1-10.p02.a.ky10或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件,根據(jù)倉庫地址進(jìn)行修改����。
倉庫源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2403
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí),命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過軟件包地址下載軟件包�����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2022-1962:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2022-32189:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2022-41715:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2023-45290:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
CVE-2024-24783:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2024-24785:需要重啟 podman 以使漏洞修復(fù)生效�����。
CVE-2024-24791:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效����。
CVE-2024-9355:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3
podman(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/python3-pypodman-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/python3-podman-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/podman-help-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/podman-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/updates/loongarch64/Packages/podman-docker-0.10.1-10.p02.a.ky10.noarch.rpm
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2403
podman(loongarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-docker-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-docker-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-help-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/python3-pypodman-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/python3-podman-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/podman-help-0.10.1-10.p02.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/python3-pypodman-0.10.1-10.p02.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/loongarch64/Packages/python3-podman-0.10.1-10.p02.a.ky10.noarch.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令��,查看相關(guān)軟件包版本是否與修復(fù)版本一致����,如果版本一致��,則說明修復(fù)成功�����。
sudo rpm -qa | grep Packagename
