2018-2580: Google Go (golang): Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-12-19 18:46)

Neues Advisory

Version 2 (2018-12-27 11:16)

openSUSE veröffentlicht für openSUSE Leap 42.3 ein weiteres Sicherheitsupdate. Dieses steht für go1.10 zur Verfügung und behebt neben den drei Schwachstellen fünf nicht sicherheitsrelevante Fehler. Für SUSE CaaS Platform 3.0 stehen Sicherheitsupdates für 'buildah', 'caasp-cli', 'caasp-dex', 'cni-plugins', 'container-feeder', 'containerd-kubic', 'cri-o', 'cri-tools', 'docker-kubic', 'docker-runc-kubic', 'etcd', 'flannel', 'golang-github-docker-libnetwork-kubic', 'helm', 'kubernetes', 'kubernetes-dns', 'libcontainers-storage', 'podman', 'runc', 'skopeo' und 'umoci' bereit, die auf go1.10 aufsetzen, um die referenzierten Schwachstellen zu beheben.

Version 3 (2019-01-03 10:14)

Für Fedora 28 und 29 stehen Sicherheitsupdates in Form der Pakete 'golang-1.10.7-1.fc28' und 'golang-1.11.4-1.fc29' im Status 'testing' bereit, welche diese Schwachstellen beheben.

Version 4 (2019-01-10 10:22)

Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form von 'golang-1.11.4-1'-Paketen zur Verfügung, die sich derzeit noch im Status 'pending' befinden, welche diese Schwachstellen beheben. SUSE stellt für SUSE Linux Enterprise Module for Containers 15 ein Sicherheitsupdate für 'helm-mirror' auf die Version 0.2.1 bereit, mit dem die referenzierten Schwachstellen adressiert werden.

Version 5 (2019-01-23 10:55)

Für Fedora 29 Containers steht ein Sicherheitsupdate in Form des Paketes 'golang-1.11-6.fc29' im Status 'testing' zur Verfügung, mit dem die referenzierten Schwachstellen behoben werden.

Version 6 (2019-02-18 10:40)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'containerd', 'docker', 'docker-runc' und 'golang-github-docker-libnetwork' bereit, mit dem die Schwachstellen in Go behoben werden.

Version 7 (2019-07-05 11:26)

SUSE stellt für SUSE Linux Enterprise Module for Containers 15 SP1 ein Sicherheitsupdate für 'helm-mirror' auf die Version 0.2.1 bereit, mit dem die referenzierten Schwachstellen adressiert werden.

Version 8 (2019-07-15 11:59)

Für SUSE Package Hub for SUSE Linux Enterprise 12 steht ein Sicherheitsupdate für 'helm' auf Version 2.13.1 bereit. Als Abhängigkeit wird hier 'golang' 1.10.6 vorausgesetzt, wodurch die referenzierten Schwachstellen behoben werden.

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Cloud
Linux
Hypervisor

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes (in einem Fall über die Manipulation von Dateien) und die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Für openSUSE Leap 42.3 und openSUSE Leap 15.0 stehen Sicherheitsupdates für 'go1.11' zur Behebung dieser Schwachstellen sowie vier weiterer Fehler bereit.

Schwachstellen:

CVE-2018-16873

Schwachstelle in Google Go (golang) ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16874

Schwachstelle in Google Go (golang) ermöglicht Manipulation von Dateien und Ausführung beliebigen Programmcodes

CVE-2018-16875

Schwachstelle in Google Go (golang) ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.