PT-2022-6711 · Go+7 · Go+7
256Dpi
+1
·
Publicado
2022-05-11
·
Atualizado
2026-05-18
·
CVE-2022-29526
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Go 1.17.0 a 1.17.9
Versões do Go 1.18.0 a 1.18.1
Descrição
O problema está relacionado à atribuição incorreta de privilégios na função Faccessat da linguagem de programação Go. Isso pode permitir que um invasor contorne as restrições de segurança existentes. Quando chamada com um parâmetro de sinalizadores diferente de zero, a função Faccessat poderia informar incorretamente que um arquivo está acessível. O problema surge porque a função verifica os bits de permissão de grupo de um arquivo se o usuário do processo for membro do grupo do processo, em vez de membro do grupo do arquivo.
Recomendações
Para as versões 1.17.0 a 1.17.9 do Go, atualize para a versão 1.17.10 ou posterior para resolver o problema.
Para as versões 1.18.0 a 1.18.1 do Go, atualize para a versão 1.18.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere evitar o uso de parâmetros de sinalizadores diferentes de zero com a função Faccessat até que um patch seja aplicado.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Centos
Debian
Go
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu