RHEL 9：git-lfs (RHSA-2023: 2357)

high Nessus 插件 ID 175475

语言：

简介

远程 Red Hat 主机缺少一个或多个 git-lfs 安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 2357 公告中提及的一个漏洞影响。

- 在 Go 1.17.12 和 Go 1.18.4 版之前的 net/http 的 HTTP/1 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

- 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

- ReverseProxy 转发的请求包括入站请求的原始查询参数，包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时，这可能允许查询参数走私。修复后，在 ReverseProxy 之后设置出站请求的表单字段时，ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)

- Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30630)

- Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30632)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
(CVE-2022-30635)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

- 在 1.17.13 和 1.18.5 版之前的 Go 的 math/big 中，编码过短的消息可能导致 Float.GobDecode 和 Rat GobDecode 发生错误，从而可能造成拒绝服务。(CVE-2022-32189)

- 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系，但在某些情况下，常数因子可高达 40,000，使得相对较小的 regexp 消耗大量内存。修复后，每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

- 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限，但攻击者可发送非常大的密钥，从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。