FERRAMENTAS LINUX: Atualização de segurança do Debian para o golang-1.8, aviso Debian LTS: DLA-2592-1

domingo, 14 de março de 2021

Atualização de segurança do Debian para o golang-1.8, aviso Debian LTS: DLA-2592-1

 

Confira !!

Várias vulnerabilidades foram descobertas na linguagem de programação Go. Um invasor pode acionar uma negação de serviço (DoS), ignorar o controle de acesso e executar código arbitrário no computador do desenvolvedor.


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2592-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Sylvain Beucler

13 de março de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: golang-1.8

Versão: 1.8.1-1 + deb9u3

CVE ID: CVE-2017-15041 CVE-2018-16873 CVE-2018-16874 CVE-2019-9741 

                 CVE-2019-16276 CVE-2019-17596 CVE-2021-3114

Bug Debian: 924630 941173 942628 942629


Várias vulnerabilidades foram descobertas na programação Go

língua. Um invasor pode acionar uma negação de serviço (DoS), desvios

controle de acesso e execute código arbitrário no desenvolvedor

computador.


CVE-2017-15041


     Go permite a execução do comando remoto "go get". Usando personalizado

     domínios, é possível organizar as coisas de modo que

     example.com/pkg1 aponta para um repositório Subversion, mas

     example.com/pkg1/pkg2 aponta para um repositório Git. Se o

     O repositório Subversion inclui um checkout Git em seu pkg2

     diretório e algum outro trabalho é feito para garantir o correto

     ordenação de operações, "go get" pode ser enganado para reutilizar este

     Git check-out para a busca de código de pkg2. Se o Subversion

     Git checkout do repositório tem comandos maliciosos em .git / hooks /,

     eles serão executados no sistema executando "go get".


CVE-2018-16873


    O comando "go get" é vulnerável à execução remota de código quando

    executado com o sinalizador -u e o caminho de importação de um Go malicioso

    pacote, pois pode tratar o diretório pai como um repositório Git

    root, contendo configuração maliciosa.


CVE-2018-16874


    O comando "go get" é vulnerável à travessia de diretório quando

    executado com o caminho de importação de um pacote Go malicioso que

    contém chaves (ambos os caracteres '{' e '}'). O atacante

    pode causar uma gravação arbitrária no sistema de arquivos, o que pode levar ao código

    execução.


CVE-2019-9741


    Em net / http, a injeção de CRLF é possível se o invasor controlar um

    parâmetro url, conforme demonstrado pelo segundo argumento para

    http.NewRequest com \ r \ n seguido por um cabeçalho HTTP ou um Redis

    comando.


CVE-2019-16276


    Go permite contrabando de solicitações HTTP.


CVE-2019-17596


    Go pode entrar em pânico ao tentar processar o tráfego de rede contendo

    uma chave pública DSA inválida. Existem vários cenários de ataque,

    como o tráfego de um cliente para um servidor que verifica o cliente

    certificados.


CVE-2021-3114


    crypto / elliptic / p224.go pode gerar saídas incorretas, relacionadas a

    um underflow do membro inferior durante o final completo

    redução no campo P-224.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

1.8.1-1 + deb9u3.


Recomendamos que você atualize seus pacotes golang-1.8.


Para o status de segurança detalhado do golang-1.8, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/golang-1.8


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS






Fonte

At´re a próxima !!

Nenhum comentário:

Postar um comentário