PT-2020-16998 · Google+4 · Go+4

Chris Brown

Publicado

2020-11-16

Atualizado

2024-06-15

CVE-2020-28366

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do Go anteriores à 1.14.12

Versões do Go 1.15.x anteriores à 1.15.5

Descrição

A vulnerabilidade permite a injeção de código no comando go quando o cgo é utilizado, podendo levar à execução de código arbitrário durante a compilação. Isso pode ocorrer por meio de um nome de símbolo malicioso sem aspas em um arquivo objeto vinculado, como ao executar go get em um pacote malicioso ou qualquer outro comando que compile código não confiável.

Recomendações

Para versões do Go anteriores à 1.14.12, atualize para a versão 1.14.12 ou posterior.

Para versões do Go 1.15.x anteriores à 1.15.5, atualize para a versão 1.15.5 ou posterior.

Como solução temporária, considere evitar o uso do cgo com código não confiável até que um patch seja aplicado.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

ALT-PU-2020-3319

ALT-PU-2020-3334

ALT-PU-2020-3356

ALT-PU-2021-1456

AZL-38452

BIT-GOLANG-2020-28366

CESA-2020_5493

CVE-2020-28366

GO-2022-0475

MGASA-2021-0018

OPENSUSE-SU-2020:2047-1

OPENSUSE-SU-2020:2067-1

OPENSUSE-SU-2020:2139-1

OPENSUSE-SU-2020_2047-1

OPENSUSE-SU-2020_2067-1

OPENSUSE-SU-2020_2139-1

OPENSUSE-SU-2024:10807-1

OPENSUSE-SU-2024:10808-1

RHSA-2020:5333

RHSA-2020:5493

RHSA-2020_5493

RHSA-2021:0145

SUSE-SU-2020:3368-1

SUSE-SU-2020:3369-1

Produtos afetados

Alt Linux

Centos

Red Hat

Suse

PT-2020-16998 · Google+4 · Go+4

CVE-2020-28366

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 60