2019-0231: Golang: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-04 14:52)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten Webseite beliebige Kommandos mit den Rechten eines Benutzers von Golang ausführen oder mit Hilfe präparierten Quellcodes beliebigen Programmcode zur Ausführung bringen sowie einen Denial-of-Service (DoS)-Angriff durchführen und möglicherweise sensitives Schlüsselmaterial ausspähen.

Für Debian Stretch (stable) 9.7 stehen Sicherheitsupdates für golang-1.7 und golang-1.8 bereit. Mittels des Sicherheitsupdates für golang-1.8 werden alle referenzierten Schwachstellen adressiert, für golang-1.7 werden die Schwachstellen CVE-2018-7187 und CVE-2019-6486 behoben.

Schwachstellen:

CVE-2018-6574

Schwachstelle in Google Go (Golang) ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-7187

Schwachstelle in Golang ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-6486

Schwachstelle in Golang ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.