osbuild-composer-118.2-1.el9_5.ML.1

エラータID: AXSA:2025-9935:02

リリース日: 
2025/05/15 Thursday - 11:54
題名: 
osbuild-composer-118.2-1.el9_5.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- golang-jwt の parse.ParseUnverified() 関数には、指定された引数
を制限なくピリオド文字で分割してしまう問題があるため、リモートの
攻撃者により、多数のピリオド文字が続く Bearer が設定されるように
細工された Authorization ヘッダーの処理を介して、サービス拒否攻撃
を可能とする脆弱性が存在します。(CVE-2025-30204)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-30204
golang-jwt is a Go implementation of JSON Web Tokens. Starting in version 3.2.0 and prior to versions 5.2.2 and 4.5.2, the function parse.ParseUnverified splits (via a call to strings.Split) its argument (which is untrusted data) on periods. As a result, in the face of a malicious request whose Authorization header consists of Bearer followed by many period characters, a call to that function incurs allocations to the tune of O(n) bytes (where n stands for the length of the function's argument), with a constant factor of about 16. This issue is fixed in 5.2.2 and 4.5.2.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. osbuild-composer-118.2-1.el9_5.ML.1.src.rpm
    MD5: 6276a1deeb174fa09904af3e45f1136a
    SHA-256: a4ff2ffb427562dcb103069df204ae576541e42692a1f9d828ebfa66d3dd174c
    Size: 59.10 MB

Asianux Server 9 for x86_64
  1. osbuild-composer-118.2-1.el9_5.ML.1.x86_64.rpm
    MD5: 2a50c56c9fd2cffc07db9cdad274a6fa
    SHA-256: 38418fab53ca71973d1bf513753401f040ff8ad5187fa189b61f995de98e1f76
    Size: 21.14 kB
  2. osbuild-composer-core-118.2-1.el9_5.ML.1.x86_64.rpm
    MD5: 7a002859c1e41fcf7f457bb06aed2e2c
    SHA-256: 77aace3b33d902797590ccddfed21c5dafbd5d67d7a29778e57b4b0a40c553b4
    Size: 10.53 MB
  3. osbuild-composer-worker-118.2-1.el9_5.ML.1.x86_64.rpm
    MD5: 45a5736dafe62d2b478d43acc667729f
    SHA-256: 7ac12467a391a2332445978db19d6944558ca2b3699aa375fa0fb5b286b2cc96
    Size: 23.33 MB