CVE-2020-7919

**Nome do software vulnerável e versões afetadas:

Versões do Go anteriores à 1.12.16

Versões do Go 1.13.x anteriores à 1.13.7

Versões do pacote crypto/cryptobyte anteriores à 0.0.0-20200124225646-8b5121be2f68

Descrição:

A vulnerabilidade está relacionada a erros no procedimento de autenticação de certificados nas bibliotecas crypto/x509 e golang.org/x/crypto/cryptobyte da linguagem de programação Go. A exploração da vulnerabilidade permite que um invasor remoto provoque uma negação de serviço por meio de um certificado X.509 malformado, resultando em um panic no cliente. Isso pode ser feito por meio de uma conexão crypto/tls com um cliente ou com um servidor que aceite certificados de cliente.

Recomendações:

Para versões do Go anteriores à 1.12.16, atualize para a versão 1.12.16 ou posterior.

Para versões do Go 1.13.x anteriores à 1.13.7, atualize para a versão 1.13.7 ou posterior.

Para versões do pacote crypto/cryptobyte anteriores à 0.0.0-20200124225646-8b5121be2f68, atualize para a versão 0.0.0-20200124225646-8b5121be2f68 ou posterior.

Como solução temporária, considere restringir o acesso às bibliotecas crypto/x509 e golang.org/x/crypto/cryptobyte até que um patch esteja disponível.

Evite usar a conexão crypto/tls para entregar certificados X.509 malformados aos clientes até que o problema seja resolvido.