PT-2020-16999 · Google+4 · Go+4

Imre Rad

·

Publicado

2020-11-16

·

Atualizado

2024-06-15

·

CVE-2020-28367

CVSS v3.1

7.5

Alta

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.14.12
Versões do Go anteriores à 1.15.5
Descrição
A vulnerabilidade permite a execução de código arbitrário durante a compilação por meio de sinalizadores gcc maliciosos especificados através de uma diretiva #cgo. Isso pode ocorrer ao executar comandos que compilam código não confiável, como o go get em um pacote malicioso. O problema é causado pela injeção de sinalizadores maliciosos por meio de uma diretiva #cgo, permitindo a injeção de argumentos.
Recomendações
Para versões do Go anteriores à 1.14.12, atualize para a versão 1.14.12 ou posterior para resolver o problema.
Para versões do Go anteriores à 1.15.5, atualize para a versão 1.15.5 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso da diretiva #cgo até que um patch seja aplicado. Evite usar sinalizadores gcc maliciosos especificados por meio de uma diretiva #cgo nos pontos de extremidade da API afetados até que o problema seja resolvido.

Exploit

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

ALT-PU-2020-3319
ALT-PU-2020-3334
ALT-PU-2020-3356
ALT-PU-2021-1456
BIT-GOLANG-2020-28367
CESA-2020_5493
CVE-2020-28367
DLA-2460-1
DLA-3395-1
DLA-3395-2
GO-2022-0476
MGASA-2021-0018
OPENSUSE-SU-2020:2047-1
OPENSUSE-SU-2020:2067-1
OPENSUSE-SU-2020:2139-1
OPENSUSE-SU-2020_2047-1
OPENSUSE-SU-2020_2067-1
OPENSUSE-SU-2020_2139-1
OPENSUSE-SU-2024:10807-1
OPENSUSE-SU-2024:10808-1
RHSA-2020:5333
RHSA-2020:5493
RHSA-2020_5493
RHSA-2021:0145
SUSE-SU-2020:3368-1
SUSE-SU-2020:3369-1

Produtos afetados

Alt Linux
Centos
Go
Red Hat
Suse