PT-2022-18473 · Go+2 · Go+2

Publicado

2022-04-13

·

Atualizado

2024-06-15

·

CVE-2022-27536

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Go 1.18.0 a 1.18.0
Descrição
O problema surge quando a função Certificate.Verify em crypto/x509 recebe certos certificados malformados, fazendo com que ela entre em pânico no macOS. Isso pode ser explorado por um servidor TLS remoto para fazer com que um cliente TLS entre em pânico. O problema ocorre ao verificar cadeias de certificados que contêm certificados não conformes com a RFC 5280, o que pode ser transmitido via TLS e causar a falha de um cliente crypto/tls ou net/http.
Recomendações
Para as versões 1.18.0 do Go, atualize para a versão 1.18.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a servidores TLS que possam apresentar certificados malformados até que um patch esteja disponível.

Exploit

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2022-1689
ALT-PU-2022-1707
ALT-PU-2022-2873
ALT-PU-2023-1205
AZL-78958
BIT-GOLANG-2022-27536
CVE-2022-27536
GO-2022-0434
OPENSUSE-SU-2022_1410-1
OPENSUSE-SU-2024:11991-1
SUSE-SU-2022:1410-1
SUSE-SU-2023:2312-1

Produtos afetados

Alt Linux
Go
Suse