DFN-CERT

Advisory-Archiv

2020-2507: Google Go (golang): Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2020-11-16 13:12)
Neues Advisory
Version 2 (2020-11-19 12:21)
Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf Version 1.15.5 im Status 'testing' zur Verfügung.
Version 3 (2020-11-19 17:20)
Für SUSE Linux Enterprise Module for Development Tools 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'go1.14' und 'go1.15' bereit, um die drei Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.
Version 4 (2020-11-27 14:55)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'go1.14' zur Verfügung. Die betroffene Software wird damit auf Version 1.14.12 aktualisiert.
Version 5 (2020-11-27 15:33)
Für openSUSE Leap 15.2 steht das Sicherheitsupdate zur Behebung der Schwachstellen in 'go1.14' ebenfalls zur Verfügung.
Version 6 (2020-12-02 09:29)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'go1.15' zur Behebung der Schwachstellen und eines weiteren, nicht sicherheitsrelevanten Fehlers zur Verfügung.
Version 7 (2020-12-04 09:01)
Für Red Hat Developer Tools 1 für Red Hat Enterprise Linux 7 (Workstation und Server) stehen Sicherheitsupdates für 'go-toolset-1.14-golang' bereit, um die Schwachstellen zu beheben.
Version 8 (2020-12-09 16:07)
Für Fedora 32 steht ein Sicherheitsupdate auf Version 1.14.13 im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann auf verschiedene Weisen aus der Ferne eine Panik erzeugen und dadurch Denial-of-Service (DoS)-Angriffe durchführen. Zwei weitere Schwachstellen können von einem Angreifer lokal mit Hilfe speziell präparierter 'cgo'-Pakete ausgenutzt werden, um beliebigen Programmcode zur Build-Zeit auszuführen. Diese Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller stellt Go 1.15.5 und 1.14.12 als Sicherheitsupdates bereit.

Für Fedora 33 steht ein Sicherheitsupdate auf Version 1.15.5 im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2020-28362

Schwachstellen in Google Go (golang) ermöglichen Denial-of-Service-Angriffe

CVE-2020-28366

Schwachstelle in Google Go (golang) ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-28367

Schwachstelle in Google Go (golang) ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.