Containernetworking-plugins
Уязвимости
51
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.83433
Распределение по критичности
Критический
1
Высокий
26
Средний
23
Низкий
1
Также сопоставлено как (исходные строки): containernetworking-plugins
Топ уязвимостей
CVE-2023-24538Шаблоны неправильно рассматривают обратные апострофы (`) как разделители строк в JavaScript и не экранируют их должным образом. Обратные апострофы используются с ES6 для шаблонных литералов JS. Если шаблон содержит действие шаблона Go внутри шаблонного литерала JavaScript, то содержимое действия может быть использовано для завершения литерала, внедряя произвольный код JavaScript в шаблон Go. Поскольку шаблонные литералы ES6 довольно сложны и могут выполнять интерполяцию строк, было принято решение просто запретить действия шаблона Go внутри них (например, "var a = {{.}}"), поскольку нет очевидно безопасного способа позволить такое поведение. Это принимает тот же подход, что и github.com/google/safehtml. С исправлением Template.Parse возвращает ошибку, когда встречает такие шаблоны, с кодом ошибки 12. Этот код ошибки в настоящее время не экспортируется, но будет экспортирован в версии Go 1.21. Пользователи, полагающиеся на предыдущее поведение, могут повторно включить его, используя флаг GODEBUG jstmpllitinterp=1, с оговоркой, что обратные апострофы теперь будут экранированы. Это следует использовать с осторожностью.
CVE-2023-24540Не все допустимые символы пробела JavaScript считаются пробелами. Шаблоны, содержащие символы пробела вне набора символов "\t\n\f\r\u0020\u2028\u2029" в контекстах JavaScript, которые также содержат действия, могут быть неправильно очищены во время выполнения.
CVE-2024-34156Вызов Decoder.Decode для сообщения, содержащего глубоко вложенные структуры, может вызвать панику из-за исчерпания стека. Это является продолжением CVE-2022-30635.
CVE-2024-24788Неправильное сообщение DNS в ответ на запрос может заставить функции Lookup застрять в бесконечном цикле.
CVE-2024-1394Во фрагменте кода Golang, отвечающем за шифрование/дешифрование RSA, была обнаружена уязвимость, связанная с утечкой памяти, которая может привести к исчерпанию ресурсов при использовании входных данных, контролируемых злоумышленником. Утечка памяти происходит в github.com/golang-fips/openssl/openssl/rsa.go#L113. Утекшими объектами являются pkey и ctx. В этой функции используются именованные возвращаемые параметры для освобождения pkey и ctx в случае ошибки при инициализации контекста или установке различных свойств. Все операторы возврата, связанные со случаями ошибок, следуют шаблону "return nil, nil, fail(...)", что означает, что pkey и ctx будут nil внутри отложенной функции, которая должна их освободить.
CVE-2023-45287До версии Go 1.20 RSA-согласования TLS использовали библиотеку math/big, которая не является константной по времени. Применялось RSA-ослепление для предотвращения атак на время, но анализ показывает, что это может быть не полностью эффективно. В частности, кажется, что удаление заполнения PKCS#1 может утечку информации о времени, которая, в свою очередь, может быть использована для восстановления битов сеансового ключа. В Go 1.20 библиотека crypto/tls перешла на полностью константное время реализации RSA, которая, по нашему мнению, не демонстрирует никаких временных побочных каналов.
CVE-2023-39325Злонамеренный клиент HTTP/2, который быстро создаёт запросы и сразу же сбрасывает их, может вызвать чрезмерное потребление ресурсов сервера. Хотя общее количество запросов ограничено настройкой http2.Server.MaxConcurrentStreams, сброс текущего запроса позволяет злоумышленнику создать новый запрос, пока существующий все еще выполняется. С применением исправления сервера HTTP/2 теперь ограничивают количество одновременно выполняемых обработчиков goroutines в соответствии с ограничением конкуренции потоков (MaxConcurrentStreams). Новые запросы, приходящие на пределе (что может произойти только после сброса клиентом существующего запроса), будут помещены в очередь до выхода обработчика. Если очередь запросов вырастет слишком большой, сервер завершит соединение. Эта проблема также исправлена в golang.org/x/net/http2 для пользователей, вручную настраивающих HTTP/2. Стандартный лимит конкуренции потоков составляет 250 потоков (запросов) на одно соединение HTTP/2. Это значение может быть настроено с помощью пакета golang.org/x/net/http2; смотрите настройку Server.MaxConcurrentStreams и функцию ConfigureServer.
CVE-2023-39322Соединения QUIC не устанавливают верхнюю границу на объем данных, буферизуемых при чтении сообщений после установки соединения, что позволяет злонамеренному соединению QUIC вызвать неконтролируемый рост памяти. С поправкой соединения теперь последовательно отклоняют сообщения больше 65KiB.
CVE-2023-39321Обработка неп полного сообщения после установки соединения QUIC может привести к панике.
CVE-2023-24537Вызов любой из функций Parse на исходном коде Go, который содержит директивы //line с очень большими номерами строк, может вызвать бесконечный цикл из-за переполнения целого числа.
CVE-2023-24536Парсинг форм многокомпонентного типа может потреблять большие объемы ЦП и памяти при обработке входных данных форм, содержащих очень большое количество частей. Это вызвано несколькими факторами: 1. mime/multipart.Reader.ReadForm ограничивает общее количество памяти, которое может потреблять разобранная многокомпонентная форма. ReadForm может недооценить количество потребляемой памяти, что ведет к тому, что он принимает большие входные данные, чем предполагалось. 2. Ограничение общего объема памяти не учитывает увеличенное давление на сборщик мусора от большого количества небольших аллокаций в формах с множеством частей. 3. ReadForm может выделять большое количество краткоживущих буферов, что дополнительно увеличивает давление на сборщик мусора. Сочетание этих факторов может позволить злоумышленнику заставить программу, парсирующую многокомпонентные формы, потреблять большое количество ЦП и памяти, потенциально приводя к отказу в обслуживании. Это затрагивает программы, использующие mime/multipart.Reader.ReadForm, а также парсинг форм в пакете net/http с методами Request FormFile, FormValue, ParseMultipartForm и PostFormValue. С исправлением ReadForm теперь лучше оценивает потребление памяти разобранных форм и выполняет значительно меньше короткоживущих аллокаций. Кроме того, исправленный mime/multipart.Reader накладывает следующие ограничения на размер разобранных форм: 1. Формы, разобранные с ReadForm, могут содержать не более 1000 частей. Это ограничение можно настроить с переменной окружения GODEBUG=multipartmaxparts=. 2. Части формы, разобранные с помощью NextPart и NextRawPart, могут содержать не более 10 000 заголовков. Кроме того, формы, разобранные с ReadForm, могут содержать не более 10 000 заголовков по всем частям. Это ограничение может быть настроено с помощью переменной окружения GODEBUG=multipartmaxheaders=.
CVE-2023-24534Парсинг HTTP и MIME-заголовков может потреблять большие объемы памяти, даже при разборе небольших входных данных, потенциально ведущих к отказу в обслуживании. Определенные необычные паттерны входных данных могут привести к тому, что общая функция, используемая для разбора HTTP и MIME-заголовков, выделяет значительно больше памяти, чем необходимо для хранения разобранных заголовков. Злоумышленник может использовать это поведение, чтобы заставить HTTP-сервер выделять большие объемы памяти из небольшого запроса, потенциально приводя к исчерпанию памяти и отказу в обслуживании. С исправлением, парсинг заголовков теперь правильно выделяет только память, необходимую для хранения разобранных заголовков.
CVE-2022-41725Возможен отказ в обслуживании из-за чрезмерного потребления ресурсов в net/http и mime/multipart. Парсинг многочастной формы с mime/multipart.Reader.ReadForm может потреблять практически неограниченные объёмы памяти и дисковых файлов. Это также затрагивает парсинг форм в пакете net/http с методами Request FormFile, FormValue, ParseMultipartForm и PostFormValue. ReadForm принимает параметр maxMemory и документирован как хранящий "до maxMemory байт +10 МБ (зарезервировано для не файловых частей) в памяти". Части файлов, которые не могут быть сохранены в памяти, сохраняются на диске во временных файлах. Неподдающаяся настройке 10 МБ, зарезервированных для не файловых частей, является чрезмерно большой и потенциально может открыть вектор отказа в обслуживании. Однако ReadForm не учитывал все ресурсы памяти, потребляемые парсенной формой, такие как накладные расходы на записи карты, имена частей и заголовки MIME, что позволяло злонамеренно созданной форме потреблять значительно более 10 МБ. В дополнение, ReadForm не содержал ограничения на количество создаваемых дисковых файлов, позволяя относительно небольшому телу запроса создать большое количество временных файлов на диске. После исправления ReadForm теперь правильно учитывает различные формы накладных расходов памяти и теперь должен оставаться в рамках своей документированной границы 10 МБ + объём памяти maxMemory. Пользователи всё равно должны быть осторожны, что это ограничение высоко и по-прежнему может быть опасным. Кроме того, ReadForm теперь создает не более одного временного файла на диске, объединяя несколько частей форм в один временный файл. Документация интерфейса типа mime/multipart.File указывает: "Если сохранён на диске, базовый конкретный тип файла будет *os.File.". Это больше не так, когда форма содержит более одной части файла, из-за этого объединения частей в один файл. Предыдущее поведение использования разных файлов для каждой части формы может быть повторно включено с помощью переменной среды GODEBUG=multipartfiles=distinct. Пользователи должны знать, что multipart.ReadForm и методы http.Request, которые его вызывают, не ограничивают объём дискового пространства, используемого временными файлами. Вызывающие функции могут ограничить размер данных формы с помощью http.MaxBytesReader.
CVE-2022-41724Большие записи рукопожатий могут вызвать паники в crypto/tls. И клиенты, и серверы могут отправлять большие записи рукопожатий TLS, которые вызывают панику серверов и клиентов соответственно при попытке сформировать ответы. Это затрагивает всех клиентов TLS 1.3, клиентов TLS 1.2, которые явно включают восстановление сеансов (путем установки Config.ClientSessionCache в ненулевое значение), и сервера TLS 1.3, которые запрашивают клиентские сертификаты (путем установки Config.ClientAuth >= RequestClientCert).
CVE-2022-41723Злоумышленно созданный поток HTTP/2 может вызвать чрезмерное потребление ЦП в декодере HPACK, достаточное для вызова отказа в обслуживании от небольшого количества мелких запросов.
CVE-2022-30631Неконтролируемая рекурсия в Reader.Read в compress/gzip до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через архив, содержащий большое количество объединенных сжатых файлов нулевой длины.
CVE-2022-28327Общая функция P-256 в crypto/elliptic в Go до версий 1.17.9 и 1.18.x до версии 1.18.1 допускает панику через длинный скалярный ввод.
CVE-2021-44716net/http в Go до версий 1.16.12 и 1.17.x до версии 1.17.5 допускает неконтролируемое потребление памяти в кэше канонизации заголовков через HTTP/2 запросы.
CVE-2021-33198В Go до 1.15.13 и 1.16.x до 1.16.5 может возникнуть паника из-за большой экспоненты для метода math/big.Rat SetString или UnmarshalText.
CVE-2021-33195Go до 1.15.13 и 1.16.x до 1.16.5 имеет функции для поиска DNS, которые не проверяют ответы от DNS-серверов, и, таким образом, возвращаемое значение может содержать небезопасную инъекцию (например, XSS), которая не соответствует формату RFC1035.
CVE-2020-16845Go до 1.13.15 и 14.x до 1.14.7 может иметь бесконечный цикл чтения в ReadUvarint и ReadVarint в encoding/binary через недопустимые входные данные.
CVE-2019-9514Некоторые реализации HTTP/2 уязвимы для reset-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник открывает несколько потоков и отправляет недействительный запрос по каждому потоку, который должен вызвать поток кадров RST_STREAM от пира. В зависимости от того, как пир ставит в очередь кадры RST_STREAM, это может потреблять избыточную память, ЦП или и то, и другое.
CVE-2019-9512Некоторые реализации HTTP/2 уязвимы для ping-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет непрерывные пинги HTTP/2 пиру, заставляя пира создавать внутреннюю очередь ответов. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2022-2996В python-scciclient обнаружена ошибка при установлении HTTPS-соединения с сервером, где сертификат сервера не будет проверен. Эта проблема открывает соединение для возможных атак Man-in-the-middle (MITM).
CVE-2023-29400Шаблоны, содержащие действия в незакавыченных атрибутах HTML (например, "attr={{.}}"), выполняемые с пустым вводом, могут привести к выводу с неожиданными результатами при синтаксическом анализе из-за правил нормализации HTML. Это может позволить внедрять произвольные атрибуты в теги.