PT-2021-6523 · Google+7 · Go+7
Haya Shulman
+1
·
Publicado
2021-02-19
·
Atualizado
2024-06-15
·
CVE-2021-33195
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Go 1.15.x anteriores à 1.15.13
Versões do Go 1.16.x anteriores à 1.16.5
Descrição
O problema está relacionado às funções de pesquisa de DNS na linguagem de programação Go, que não validam adequadamente as respostas dos servidores DNS. Isso pode levar ao retorno de injeções inseguras, como XSS, que não estão em conformidade com o formato RFC1035. A vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. As funções afetadas incluem LookupCNAME, LookupSRV, LookupMX, LookupNS e LookupAddr, que podem retornar valores arbitrários recuperados do DNS que não seguem as regras estabelecidas para nomes de domínio. Se esses nomes forem usados sem sanitização adicional, eles podem permitir a injeção de conteúdo inesperado.
Recomendações
Para versões do Go 1.15.x anteriores à 1.15.13, atualize para a versão 1.15.13 ou posterior para resolver o problema.
Para versões do Go 1.16.x anteriores à 1.16.5, atualize para a versão 1.16.5 ou posterior para resolver o problema.
Como solução alternativa temporária, considere sanitizar a saída das funções LookupCNAME, LookupSRV, LookupMX, LookupNS e LookupAddr para impedir a injeção de conteúdo inesperado.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Go
Red Hat
Rocky Linux
Suse