2020-2002: Google Go (golang): Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2020-09-16 11:54)

Neues Advisory

Version 2 (2020-09-28 18:10)

FürSUSE Linux Enterprise Module for Development Tools 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'go1.14' bereit, um die Schwachstelle und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 3 (2020-09-30 10:05)

Für SUSE Linux Enterprise Module for Development Tools 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'go1.15' bereit, um die Schwachstelle und zwei weitere, nicht sicherheitsrelevante Fehler zu beheben.

Version 4 (2020-10-02 09:40)

Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'go1.14' bereit, um die Schwachstelle und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 5 (2021-03-09 08:55)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'golang-1.10' und 'golang-1.14' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer kann einen Cross-Site-Scripting (XSS)-Angriff auf mit Go erstellte Anwendungen durchführen, die Uploads erlauben. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf weitere Komponenten betroffener Systeme haben.

Für Fedora EPEL 6 und 7 steht jeweils das Paket 'golang-1.15.2-1' im Status 'testing' als Sicherheitsupdate bereit, um die Schwachstelle zu beheben. Die betroffene Software wird damit auf Version 1.15.2 aktualisiert.

Schwachstellen:

CVE-2020-24553

Schwachstelle in Google Go (golang) ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.