Openshift-clients
Уязвимости
83
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
1
Высокий
42
Средний
40
Низкий
0
Также сопоставлено как (исходные строки): openshift-clients
Топ уязвимостей
CVE-2023-24538Шаблоны неправильно рассматривают обратные апострофы (`) как разделители строк в JavaScript и не экранируют их должным образом. Обратные апострофы используются с ES6 для шаблонных литералов JS. Если шаблон содержит действие шаблона Go внутри шаблонного литерала JavaScript, то содержимое действия может быть использовано для завершения литерала, внедряя произвольный код JavaScript в шаблон Go. Поскольку шаблонные литералы ES6 довольно сложны и могут выполнять интерполяцию строк, было принято решение просто запретить действия шаблона Go внутри них (например, "var a = {{.}}"), поскольку нет очевидно безопасного способа позволить такое поведение. Это принимает тот же подход, что и github.com/google/safehtml. С исправлением Template.Parse возвращает ошибку, когда встречает такие шаблоны, с кодом ошибки 12. Этот код ошибки в настоящее время не экспортируется, но будет экспортирован в версии Go 1.21. Пользователи, полагающиеся на предыдущее поведение, могут повторно включить его, используя флаг GODEBUG jstmpllitinterp=1, с оговоркой, что обратные апострофы теперь будут экранированы. Это следует использовать с осторожностью.
CVE-2021-25217В ISC DHCP 4.1-ESV-R1 -> 4.1-ESV-R16, ISC DHCP 4.4.0 -> 4.4.2 (Другие ветки ISC DHCP (т.е. выпуски серии 4.0.x или ниже и выпуски серии 4.3.x) находятся за пределами End-of-Life (EOL) и больше не поддерживаются ISC. Из проверки становится ясно, что дефект также присутствует в выпусках этих серий, но они не были официально протестированы на наличие уязвимости), результат обнаружения дефекта при чтении лизинга, который его вызовет, варьируется в зависимости от: затронутого компонента (т.е. dhclient или dhcpd) того, был ли пакет построен как 32-битный или 64-битный двоичный файл того, использовался ли флаг компилятора -fstack-protection-strong при компиляции. В dhclient ISC не удалось успешно воспроизвести ошибку в 64-битной системе. Однако в 32-битной системе можно вызвать сбой dhclient при чтении неправильного лизинга, что может вызвать проблемы с подключением к сети для затронутой системы из-за отсутствия работающего процесса DHCP-клиента. В dhcpd, при запуске в режиме DHCPv4 или DHCPv6: если двоичный файл сервера dhcpd был построен для 32-битной архитектуры И флаг -fstack-protection-strong был указан компилятору, dhcpd может завершить работу во время анализа файла лизинга, содержащего нежелательный лизинг, что приведет к отсутствию обслуживания клиентов. Кроме того, нежелательный лизинг и лизинг, непосредственно следующий за ним в базе данных лизинга, могут быть неправильно удалены. Если двоичный файл сервера dhcpd был построен для 64-битной архитектуры ИЛИ если флаг компилятора -fstack-protection-strong НЕ был указан, сбой не произойдет, но возможно, что нежелательный лизинг и лизинг, который непосредственно следовал за ним, будут неправильно удалены.
CVE-2020-2160Jenkins 2.227 и более ранние версии, LTS 2.204.5 и более ранние версии использует разные представления путей URL-адресов запросов, что позволяет злоумышленникам создавать URL-адреса, позволяющие обходить защиту CSRF любого целевого URL-адреса.
CVE-2019-10392Jenkins Git Client Plugin 2.8.4 и более ранние версии и 3.0.0-rc неправильно ограничивали значения, передаваемые в качестве аргумента URL-адреса при вызове 'git ls-remote', что приводило к внедрению команд ОС.
CVE-2021-3121Проблема была обнаружена в GoGo Protobuf до 1.3.2. plugin/unmarshal/unmarshal.go не хватает определенной проверки индекса, также известной как проблема "арахисового масла Skippy".
CVE-2023-24540Не все допустимые символы пробела JavaScript считаются пробелами. Шаблоны, содержащие символы пробела вне набора символов "\t\n\f\r\u0020\u2028\u2029" в контекстах JavaScript, которые также содержат действия, могут быть неправильно очищены во время выполнения.
CVE-2021-21605Jenkins 2.274 и более ранние версии, LTS 2.263.1 и более ранние версии позволяют пользователям с разрешением Agent/Configure выбирать имена агентов, которые заставляют Jenkins переопределять глобальный файл `config.xml`.
CVE-2021-21604Jenkins 2.274 и более ранние версии, LTS 2.263.1 и более ранние версии позволяют злоумышленникам с разрешением создавать или настраивать различные объекты внедрять специально созданное содержимое в Old Data Monitor, что приводит к созданию потенциально небезопасных объектов после их удаления администратором.
CVE-2021-3560Обнаружено, что polkit может быть обманут для обхода проверок учетных данных для запросов D-Bus, повышая привилегии запрашивающего до уровня пользователя root. Эта ошибка может быть использована непривилегированным локальным злоумышленником для, например, создания нового локального администратора. Наибольшая угроза от этой уязвимости заключается в конфиденциальности и целостности данных, а также в доступности системы.
CVE-2024-24789Обработка пакетом archive/zip некоторых типов недопустимых zip-файлов отличается от поведения большинства реализаций zip. Это несовпадение может быть использовано для создания zip-файла, содержимое которого варьируется в зависимости от реализации, читающей файл. Пакет archive/zip теперь отвергает файлы, содержащие эти ошибки.
CVE-2024-24788Неправильное сообщение DNS в ответ на запрос может заставить функции Lookup застрять в бесконечном цикле.
CVE-2024-1394Во фрагменте кода Golang, отвечающем за шифрование/дешифрование RSA, была обнаружена уязвимость, связанная с утечкой памяти, которая может привести к исчерпанию ресурсов при использовании входных данных, контролируемых злоумышленником. Утечка памяти происходит в github.com/golang-fips/openssl/openssl/rsa.go#L113. Утекшими объектами являются pkey и ctx. В этой функции используются именованные возвращаемые параметры для освобождения pkey и ctx в случае ошибки при инициализации контекста или установке различных свойств. Все операторы возврата, связанные со случаями ошибок, следуют шаблону "return nil, nil, fail(...)", что означает, что pkey и ctx будут nil внутри отложенной функции, которая должна их освободить.
CVE-2023-45287До версии Go 1.20 RSA-согласования TLS использовали библиотеку math/big, которая не является константной по времени. Применялось RSA-ослепление для предотвращения атак на время, но анализ показывает, что это может быть не полностью эффективно. В частности, кажется, что удаление заполнения PKCS#1 может утечку информации о времени, которая, в свою очередь, может быть использована для восстановления битов сеансового ключа. В Go 1.20 библиотека crypto/tls перешла на полностью константное время реализации RSA, которая, по нашему мнению, не демонстрирует никаких временных побочных каналов.
CVE-2023-44487Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.
CVE-2023-39325Злонамеренный клиент HTTP/2, который быстро создаёт запросы и сразу же сбрасывает их, может вызвать чрезмерное потребление ресурсов сервера. Хотя общее количество запросов ограничено настройкой http2.Server.MaxConcurrentStreams, сброс текущего запроса позволяет злоумышленнику создать новый запрос, пока существующий все еще выполняется. С применением исправления сервера HTTP/2 теперь ограничивают количество одновременно выполняемых обработчиков goroutines в соответствии с ограничением конкуренции потоков (MaxConcurrentStreams). Новые запросы, приходящие на пределе (что может произойти только после сброса клиентом существующего запроса), будут помещены в очередь до выхода обработчика. Если очередь запросов вырастет слишком большой, сервер завершит соединение. Эта проблема также исправлена в golang.org/x/net/http2 для пользователей, вручную настраивающих HTTP/2. Стандартный лимит конкуренции потоков составляет 250 потоков (запросов) на одно соединение HTTP/2. Это значение может быть настроено с помощью пакета golang.org/x/net/http2; смотрите настройку Server.MaxConcurrentStreams и функцию ConfigureServer.
CVE-2023-39322Соединения QUIC не устанавливают верхнюю границу на объем данных, буферизуемых при чтении сообщений после установки соединения, что позволяет злонамеренному соединению QUIC вызвать неконтролируемый рост памяти. С поправкой соединения теперь последовательно отклоняют сообщения больше 65KiB.
CVE-2023-39321Обработка неп полного сообщения после установки соединения QUIC может привести к панике.
CVE-2023-24537Вызов любой из функций Parse на исходном коде Go, который содержит директивы //line с очень большими номерами строк, может вызвать бесконечный цикл из-за переполнения целого числа.
CVE-2023-24536Парсинг форм многокомпонентного типа может потреблять большие объемы ЦП и памяти при обработке входных данных форм, содержащих очень большое количество частей. Это вызвано несколькими факторами: 1. mime/multipart.Reader.ReadForm ограничивает общее количество памяти, которое может потреблять разобранная многокомпонентная форма. ReadForm может недооценить количество потребляемой памяти, что ведет к тому, что он принимает большие входные данные, чем предполагалось. 2. Ограничение общего объема памяти не учитывает увеличенное давление на сборщик мусора от большого количества небольших аллокаций в формах с множеством частей. 3. ReadForm может выделять большое количество краткоживущих буферов, что дополнительно увеличивает давление на сборщик мусора. Сочетание этих факторов может позволить злоумышленнику заставить программу, парсирующую многокомпонентные формы, потреблять большое количество ЦП и памяти, потенциально приводя к отказу в обслуживании. Это затрагивает программы, использующие mime/multipart.Reader.ReadForm, а также парсинг форм в пакете net/http с методами Request FormFile, FormValue, ParseMultipartForm и PostFormValue. С исправлением ReadForm теперь лучше оценивает потребление памяти разобранных форм и выполняет значительно меньше короткоживущих аллокаций. Кроме того, исправленный mime/multipart.Reader накладывает следующие ограничения на размер разобранных форм: 1. Формы, разобранные с ReadForm, могут содержать не более 1000 частей. Это ограничение можно настроить с переменной окружения GODEBUG=multipartmaxparts=. 2. Части формы, разобранные с помощью NextPart и NextRawPart, могут содержать не более 10 000 заголовков. Кроме того, формы, разобранные с ReadForm, могут содержать не более 10 000 заголовков по всем частям. Это ограничение может быть настроено с помощью переменной окружения GODEBUG=multipartmaxheaders=.
CVE-2023-24534Парсинг HTTP и MIME-заголовков может потреблять большие объемы памяти, даже при разборе небольших входных данных, потенциально ведущих к отказу в обслуживании. Определенные необычные паттерны входных данных могут привести к тому, что общая функция, используемая для разбора HTTP и MIME-заголовков, выделяет значительно больше памяти, чем необходимо для хранения разобранных заголовков. Злоумышленник может использовать это поведение, чтобы заставить HTTP-сервер выделять большие объемы памяти из небольшого запроса, потенциально приводя к исчерпанию памяти и отказу в обслуживании. С исправлением, парсинг заголовков теперь правильно выделяет только память, необходимую для хранения разобранных заголовков.
CVE-2022-41725Возможен отказ в обслуживании из-за чрезмерного потребления ресурсов в net/http и mime/multipart. Парсинг многочастной формы с mime/multipart.Reader.ReadForm может потреблять практически неограниченные объёмы памяти и дисковых файлов. Это также затрагивает парсинг форм в пакете net/http с методами Request FormFile, FormValue, ParseMultipartForm и PostFormValue. ReadForm принимает параметр maxMemory и документирован как хранящий "до maxMemory байт +10 МБ (зарезервировано для не файловых частей) в памяти". Части файлов, которые не могут быть сохранены в памяти, сохраняются на диске во временных файлах. Неподдающаяся настройке 10 МБ, зарезервированных для не файловых частей, является чрезмерно большой и потенциально может открыть вектор отказа в обслуживании. Однако ReadForm не учитывал все ресурсы памяти, потребляемые парсенной формой, такие как накладные расходы на записи карты, имена частей и заголовки MIME, что позволяло злонамеренно созданной форме потреблять значительно более 10 МБ. В дополнение, ReadForm не содержал ограничения на количество создаваемых дисковых файлов, позволяя относительно небольшому телу запроса создать большое количество временных файлов на диске. После исправления ReadForm теперь правильно учитывает различные формы накладных расходов памяти и теперь должен оставаться в рамках своей документированной границы 10 МБ + объём памяти maxMemory. Пользователи всё равно должны быть осторожны, что это ограничение высоко и по-прежнему может быть опасным. Кроме того, ReadForm теперь создает не более одного временного файла на диске, объединяя несколько частей форм в один временный файл. Документация интерфейса типа mime/multipart.File указывает: "Если сохранён на диске, базовый конкретный тип файла будет *os.File.". Это больше не так, когда форма содержит более одной части файла, из-за этого объединения частей в один файл. Предыдущее поведение использования разных файлов для каждой части формы может быть повторно включено с помощью переменной среды GODEBUG=multipartfiles=distinct. Пользователи должны знать, что multipart.ReadForm и методы http.Request, которые его вызывают, не ограничивают объём дискового пространства, используемого временными файлами. Вызывающие функции могут ограничить размер данных формы с помощью http.MaxBytesReader.
CVE-2022-41724Большие записи рукопожатий могут вызвать паники в crypto/tls. И клиенты, и серверы могут отправлять большие записи рукопожатий TLS, которые вызывают панику серверов и клиентов соответственно при попытке сформировать ответы. Это затрагивает всех клиентов TLS 1.3, клиентов TLS 1.2, которые явно включают восстановление сеансов (путем установки Config.ClientSessionCache в ненулевое значение), и сервера TLS 1.3, которые запрашивают клиентские сертификаты (путем установки Config.ClientAuth >= RequestClientCert).
CVE-2022-41722Уязвимость обхода пути существует в filepath.Clean в Windows. В Windows функция filepath.Clean может преобразовать недопустимый путь, например "a/../c:/b", в допустимый путь "c:\b". Это преобразование относительного (если недопустимого) пути в абсолютный путь может позволить выполнить атаку обхода каталогов. После исправления функция filepath.Clean преобразует этот путь в относительный (но все еще недопустимый) путь ".\c:\b".
CVE-2022-32190JoinPath и URL.JoinPath не удаляют элементы пути ../, добавленные к относительному пути. Например, JoinPath("https://go.dev", "../go") возвращает URL "https://go.dev/../go", несмотря на то, что в документации JoinPath указано, что элементы пути ../ удаляются из результата.
CVE-2022-30631Неконтролируемая рекурсия в Reader.Read в compress/gzip до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через архив, содержащий большое количество объединенных сжатых файлов нулевой длины.