PT-2020-13858 · Google+2 · Go+2

Publicado

2020-02-28

·

Atualizado

2024-06-15

·

CVE-2020-14039

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.13.13
Versões do Go 1.14.x anteriores à 1.14.5
Descrição
O problema diz respeito à verificação incompleta de certificados X.509. Especificamente, em determinadas condições no Windows, a função Certificate. Verify pode não verificar os requisitos EKU especificados em VerifyOptions.KeyUsages se VerifyOptions.Roots for nulo. Isso poderia permitir que um certificado fosse usado para uma finalidade não pretendida.
Recomendações
Para versões do Go anteriores à 1.13.13, atualize para a versão 1.13.13 ou posterior.
Para versões do Go 1.14.x anteriores à 1.14.5, atualize para a versão 1.14.5 ou posterior.
Como solução alternativa temporária, considere garantir que VerifyOptions.Roots não seja nulo ao usar Certificate.Verify em instalações do Windows para garantir a verificação adequada dos requisitos de EKU.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2020-1411
ALT-PU-2020-2439
ALT-PU-2020-2456
AZL-79080
BIT-GOLANG-2020-14039
CVE-2020-14039
GO-2021-0223
OPENSUSE-SU-2020:1087-1
OPENSUSE-SU-2020:1095-1
OPENSUSE-SU-2020:1405-1
OPENSUSE-SU-2020:1407-1
OPENSUSE-SU-2020_1087-1
OPENSUSE-SU-2020_1095-1
OPENSUSE-SU-2020_1405-1
OPENSUSE-SU-2020_1407-1
OPENSUSE-SU-2024:10806-1
OPENSUSE-SU-2024:10807-1
OPENSUSE-SU-2024:11430-1
SUSE-SU-2020:2562-1
SUSE-SU-2020_2562-1
SUSE-SU-2021:0263-1
SUSE-SU-2021_0263-1

Produtos afetados

Alt Linux
Go
Suse