2021-0177: Google Go (golang): Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-01-27 13:35)

Neues Advisory

Version 2 (2021-02-01 10:29)

Es sind Sicherheitsupdates für 'go1.14' für openSUSE Leap 15.1 sowie für 'go1.14' und 'go1.15' für openSUSE Leap 15.2 verfügbar, um die Schwachstellen zu beheben.

Version 3 (2021-04-23 09:36)

Für Red Hat OpenShift Container Platform 4.6 steht das Red Hat OpenShift Serverless 1.14.0 Release (OpenShift Serverless Operator) bereit, um die Schwachstellen in 'golang' zu beheben. Hierbei werden weitere Schwachstellen referenziert, welche vermutlich abhängige Pakete betreffen. Weiterhin stellt Red Hat die OpenShift Serverless Client kn CLI in Version 1.14.0 zur Behebung der Schwachstellen zur Verfügung.

Version 4 (2021-05-19 14:51)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für 'go-toolset:rhel8' zur Verfügung, mit denen die Schwachstellen in golang adressiert werden. Die Updates werden im Kontext der Veröffentlichung von Red Hat Enterprise Linux 8.4 bereitgestellt.

Version 5 (2021-05-25 13:54)

Für Red Hat OpenShift Serverless steht als Sicherheitsupdate Version 1.14.1 zur Verfügung, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Netzwerk
Virtualisierung

Betroffene Plattformen

Cloud
Linux
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen. Ein Angreifer mit niedrigen Privilegien kann eine weitere Schwachstelle aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Letztere Schwachstelle erfordert die Interaktion eines Benutzers.

Für sowohl SUSE Container-as-a-Service (CaaS) Platform 4.0, SUSE Manager Proxy 4.0, SUSE Manager Server 4.0, SUSE Enterprise Storage 6.0 als auch die SUSE Linux Enterprise Produkte Module for Development Tools 15 SP3 und 15 SP3, Server 15 SP1 BCL / LTSS/ SAP und High Performance Computing 15 SP1 ESPOS / LTSS stehen Sicherheitsupdates für 'go1.14' und 'go1.15' (nicht für SUSE Linux Enterprise Module for Development Tools 15 SP2) bereit, um die Schwachstellen zu beheben.

Für Fedora 33 steht ein Sicherheitsupdate auf Version 1.15.7 im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2021-3114

Schwachstelle in Google Go (golang) ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-3115

Schwachstelle in Google Go (golang) ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.