DFN-CERT

Advisory-Archiv

2019-1736: Google Go (golang): Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriff

Historie:

Version 1 (2019-08-19 17:10)
Neues Advisory
Version 2 (2019-08-26 12:50)
Für SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 und 15 SP1 stehen Sicherheitsupdates für 'go1.11' und 'go1.12' sowie für openSUSE Leap 15.1 Sicherheitsupdates für 'go1.12' bereit, um diese Schwachstelle zu beheben.
Version 3 (2019-08-30 14:09)
Für Fedora 29 und 30 stehen Sicherheitsupdates für Go in Form der Pakete 'golang-1.12.9-1.fc30' und 'golang-1.11.13-1.fc29' im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 4 (2019-09-03 12:25)
Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'go1.12' bereit, um die drei Schwachstellen und zwei weitere nicht sicherheitsrelevante Fehler zu beheben.
Version 5 (2019-09-05 18:04)
openSUSE veröffentlicht für openSUSE Leap 15.0 und openSUSE Leap 15.1 jetzt auch Sicherheitsupdates für die Version go1.11, um die Schwachstellen zu beheben.
Version 6 (2019-09-09 11:55)
openSUSE stellt erneut Pakete für go1.12 für die Distribution openSUSE Leap 15.1 zur Behebung der referenzierten Schwachstellen zur Verfügung.
Version 7 (2019-09-16 12:16)
Für openSUSE Leap 15.1 wurden erneut aktualisierte Pakete für 'go1.12' veröffentlicht, um die Schwachstellen zu beheben.
Version 8 (2019-09-17 12:07)
Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für Go in Form der Pakete 'golang-1.13-1.el6' und 'golang-1.13-1.el7' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in HTTP/2-Server ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle in Go ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Für Debian Buster (stable) steht ein Sicherheitsupdate des Pakets 'golang-1.11' in Version '1.11.6-1+deb10u1' zur Verfügung.

Schwachstellen:

CVE-2019-14809

Schwachstelle in Go ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-9512

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

CVE-2019-9514

Schwachstelle in HTTP/2-Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.