PT-2022-12208 · Go+6 · Go+6
Kamil Trzciński
+1
·
Publicado
2021-12-09
·
Atualizado
2024-06-15
·
CVE-2021-44717
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Go 1.16.12 e anteriores, 1.17.x anteriores à 1.17.5
Descrição
A vulnerabilidade permite que operações de gravação sejam realizadas em um arquivo ou conexão de rede indesejados, como consequência do fechamento incorreto do descritor de arquivo 0 após o esgotamento dos descritores de arquivo. Isso pode resultar em E/S mal direcionadas, como a gravação de tráfego de rede destinado a uma conexão em uma conexão diferente, ou de conteúdo destinado a um arquivo em outro. O bug pode ser provocado quando um programa Go em execução em um sistema Unix fica sem descritores de arquivo e chama
syscall.ForkExec (incluindo indiretamente, usando o pacote os/exec).Recomendações
Para as versões 1.16.12 e anteriores, atualize para a versão 1.16.12 ou posterior.
Para as versões 1.17.x anteriores à 1.17.5, atualize para a versão 1.17.5 ou posterior.
Como solução temporária para usuários que não podem atualizar imediatamente, considere aumentar o limite de descritores de arquivo por processo para mitigar o bug.
Exploit
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Go
Red Hat
Rocky Linux
Suse