PT-2021-6618 · Go+5 · Go+5

Publicado

2021-07-08

·

Atualizado

2024-03-06

·

CVE-2021-29923

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.17
Descrição
O problema está relacionado ao tratamento incorreto de caracteres zero supérfluos no início de um octeto de endereço IP, permitindo que invasores contornem o controle de acesso baseado em endereços IP devido a uma interpretação octal inesperada. Isso afeta as funções net.ParseIP e net.ParseCIDR.
Recomendações
Para versões anteriores à 1.17, atualize para a versão 1.17 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das funções net.ParseIP e net.ParseCIDR até que um patch esteja disponível.

Exploit

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

ALT-PU-2021-2786
ALT-PU-2022-1707
ALT-PU-2023-1205
AZL-79056
BDU:2022-01896
BIT-GOLANG-2021-29923
CESA-2021_3585
CVE-2021-29923
OESA-2021-1402
RHSA-2021:3431
RHSA-2021:3585
RHSA-2021:4722
RHSA-2021:4910
RHSA-2021_3585
RHSA-2022:0237
RHSA-2022:0260
RHSA-2022:0432
RHSA-2022:0557
RHSA-2022:0988
RHSA-2022:0989
RHSA-2022:0997
RHSA-2022:0998
RHSA-2022:1276
RLSA-2021:3585

Produtos afetados

Alt Linux
Centos
Debian
Go
Red Hat
Rocky Linux