Confira !!
Várias vulnerabilidades foram descobertas na linguagem de programação Go. Um invasor pode acionar uma negação de serviço (DoS), ignorar o controle de acesso e executar código arbitrário no computador do desenvolvedor.
- ------------------------------------------------- ------------------------
Debian LTS Advisory DLA-2592-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Sylvain Beucler
13 de março de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ------------------------
Pacote: golang-1.8
Versão: 1.8.1-1 + deb9u3
CVE ID: CVE-2017-15041 CVE-2018-16873 CVE-2018-16874 CVE-2019-9741
CVE-2019-16276 CVE-2019-17596 CVE-2021-3114
Bug Debian: 924630 941173 942628 942629
Várias vulnerabilidades foram descobertas na programação Go
língua. Um invasor pode acionar uma negação de serviço (DoS), desvios
controle de acesso e execute código arbitrário no desenvolvedor
computador.
CVE-2017-15041
Go permite a execução do comando remoto "go get". Usando personalizado
domínios, é possível organizar as coisas de modo que
example.com/pkg1 aponta para um repositório Subversion, mas
example.com/pkg1/pkg2 aponta para um repositório Git. Se o
O repositório Subversion inclui um checkout Git em seu pkg2
diretório e algum outro trabalho é feito para garantir o correto
ordenação de operações, "go get" pode ser enganado para reutilizar este
Git check-out para a busca de código de pkg2. Se o Subversion
Git checkout do repositório tem comandos maliciosos em .git / hooks /,
eles serão executados no sistema executando "go get".
CVE-2018-16873
O comando "go get" é vulnerável à execução remota de código quando
executado com o sinalizador -u e o caminho de importação de um Go malicioso
pacote, pois pode tratar o diretório pai como um repositório Git
root, contendo configuração maliciosa.
CVE-2018-16874
O comando "go get" é vulnerável à travessia de diretório quando
executado com o caminho de importação de um pacote Go malicioso que
contém chaves (ambos os caracteres '{' e '}'). O atacante
pode causar uma gravação arbitrária no sistema de arquivos, o que pode levar ao código
execução.
CVE-2019-9741
Em net / http, a injeção de CRLF é possível se o invasor controlar um
parâmetro url, conforme demonstrado pelo segundo argumento para
http.NewRequest com \ r \ n seguido por um cabeçalho HTTP ou um Redis
comando.
CVE-2019-16276
Go permite contrabando de solicitações HTTP.
CVE-2019-17596
Go pode entrar em pânico ao tentar processar o tráfego de rede contendo
uma chave pública DSA inválida. Existem vários cenários de ataque,
como o tráfego de um cliente para um servidor que verifica o cliente
certificados.
CVE-2021-3114
crypto / elliptic / p224.go pode gerar saídas incorretas, relacionadas a
um underflow do membro inferior durante o final completo
redução no campo P-224.
Para Debian 9 stretch, esses problemas foram corrigidos na versão
1.8.1-1 + deb9u3.
Recomendamos que você atualize seus pacotes golang-1.8.
Para o status de segurança detalhado do golang-1.8, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/golang-1.8
Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever
essas atualizações para o seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
At´re a próxima !!
Nenhum comentário:
Postar um comentário