Confira !!
Uma atualização que resolve três vulnerabilidades e tem quatro correções já está disponível.
Atualização de segurança do openSUSE: atualização de segurança para go1.14
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 1407-1
Avaliação: importante
Referências: # 1164903 # 1169832 # 1170826 # 1172868 # 1174153
# 1174191 # 1174977
Referências cruzadas: CVE-2020-14039 CVE-2020-15586 CVE-2020-16845
Produtos afetados:
openSUSE Leap 15.2
______________________________________________________________________________
Uma atualização que resolve três vulnerabilidades e tem quatro
correções já estão disponíveis.
Descrição:
Esta atualização para go1.14 corrige os seguintes problemas:
- go1.14 foi atualizado para a versão 1.14.7
- CVE-2020-16845: dUvarint e ReadVarint podem ler um número ilimitado de
bytes de entradas inválidas (bsc # 1174977).
- go1.14.6 (lançado em 2016-07-2020) inclui correções para o comando go, o
compilador, o vinculador, veterinário e o banco de dados / sql, codificação / json,
net / http, refletir e pacotes de teste. Refs bsc # 1164903 go1.14 release
rastreamento Refs bsc # 1174153 bsc # 1174191
* go # 39991 runtime: ausente adiamento do retorno no linux / ppc64le
* vá # 39920 net / http: panic on malformado If-None-Match Header com
http.ServeContent
* go # 39849 cmd / compile: erro interno de compilação ao usar sync.Pool:
tamanhos de loja / zero incompatíveis
* go # 39824 cmd / go: TestBuildIDContainsArchModeEnv / 386 falha no linux / 386
no Go 1.14 e 1.13, não 1.15
* go # 39698 reflect: pânico de malloc após o retorno da função MakeFunc
valor que também é armazenado globalmente
* go # 39636 reflect: DeepEqual pode retornar verdadeiro para valores que não são
igual
* go # 39585 encoding / json: desempacotamento de chave de objeto incorreto ao usar
TextUnmarshaler personalizado como chave com valores de string
* go # 39562 cmd / compile / internal / ssa: TestNexting / dlv-dbg-hist falhando em
construtor linux-386-longtest porque tenta usar uma versão mais antiga
de dlv que suporta apenas linux / amd64
* go # 39308 testando: a saída de streaming perde associações paralelas de subteste
* go # 39288 cmd / vet: atualização para novos formatos de número
* go # 39101 database / sql: o cancelamento do contexto permite que as declarações
executar após rollback
* go # 38030 doc: BuildNameToCertificate obsoleto no go 1.14, não
mencionado nas notas de lançamento
* go # 40212 net / http: Expect 100-continue panics in httputil.ReverseProxy
bsc # 1174153 CVE-2020-15586
* go # 40210 crypto / x509: Método Certificate.Verify aparentemente ignorando EKU
requisitos no Windows bsc # 1174191 CVE-2020-14039 (somente Windows)
- Adicionar patch para garantir que / etc / hosts seja usado se /etc/nsswitch.conf não for
presente bsc # 1172868 gh # golang / go # 35305
Esta atualização foi importada do SUSE: SLE-15: Projeto de atualização de atualização.
Instruções do patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como YaST online_update ou "patch zypper".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.2:
zypper em patch -t openSUSE-2020-1407 = 1
Lista de Pacotes:
- openSUSE Leap 15.2 (x86_64):
go1.14-1.14.7-lp152.2.3.1
go1.14-doc-1.14.7-lp152.2.3.1
go1.14-race-1.14.7-lp152.2.3.1
Referências:
https://www.suse.com/security/cve/CVE-2020-14039.html
https://www.suse.com/security/cve/CVE-2020-15586.html
https://www.suse.com/security/cve/CVE-2020-16845.html
https://bugzilla.suse.com/1164903
https://bugzilla.suse.com/1169832
https://bugzilla.suse.com/1170826
https://bugzilla.suse.com/1172868
https://bugzilla.suse.com/1174153
https://bugzilla.suse.com/1174191
https://bugzilla.suse.com/1174977
-
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário