2022-1584: Go, Podman: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2022-07-14 17:03)
- Neues Advisory
- Version 2 (2022-07-22 12:36)
- Der Hersteller hat Go 1.18.4 und 1.17.12 als Sicherheitsupdates zur Behebung Schwachstellen bereitgestellt. Zusätzlich zu den bisher genannten Schwachstellen wird die Schwachstelle CVE-2022-1705 adressiert, die einen HTTP-Request-Smuggling-Angriff ermöglicht. Für Fedora 36 stehen in Folge eines Massen-Rebuilds basierend auf den neuen Versionen Sicherheitsupdates für verschiedene Pakete, die mit Google Go (golang) gebaut werden, im Status 'testing' bereit.
- Version 3 (2022-07-25 10:53)
- Für Fedora 36 stehen in Folge eines Massen-Rebuilds basierend auf den neuen Versionen Sicherheitsupdates für verschiedene Pakete, die mit Google Go (golang) gebaut werden, sowie das Paket 'podman-4.1.1-3.fc36' im Status 'testing' bereit, um die Schwachstellen zu adressieren.
- Version 4 (2022-08-03 12:15)
- Für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 und EUS 8.6 sowie Red Hat Enterprise Linux Server AUS und TUS 8.6 (x86_64) stehen Sicherheitsupdates für 'go-toolset:rhel8' zur Verfügung, welche auch die hier zusätzlich aufgenommene Schwachstelle CVE-2022-32148 adressieren. Die Schwachstelle ermöglicht einem Angreifer aus der Ferne das Ausspähen von Informationen. Alle jetzt aufgeführten Schwachstellen werden ebenfalls mittels aktualisierter 'go-toolset-1.17'- und 'go-toolset-1.17-golang'-Pakete für Red Hat Developer Tools 1 für RHEL Workstation und Server (x86_64) sowie aktualisierter 'go-toolset'-Pakete für Red Hat Enterprise Linux for x86_64 und for ARM 64 9 und EUS 9.0 sowie Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) behoben. Das für Fedora EPEL 7 verfügbare Sicherheitsupdate in Form des Paketes 'golang-1.17.12-1.el7' referenziert zusätzlich die Schwachstelle CVE-2022-30629 als behoben. Diese erlaubt einem Angreifer aus der Ferne Informationen auszuspähen. Das Sicherheitsupdate befindet sich im Status 'testing'.
- Version 5 (2022-08-03 18:40)
- Für Oracle Linux 9 (aarch64, x86_64) stehen Sicherheitsupdates für 'go-toolset' und 'golang' zur Behebung der referenzierten Schwachstellen zur Verfügung.
- Version 6 (2022-08-04 11:05)
- Für Oracle Linux 8 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'go-toolset:ol8' bereit.
Betroffene Software
Entwicklung
Netzwerk
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen HTTP-Request-Smuggling-Angriff durchzuführen. Mehrere weitere Schwachstellen können lokal ausgenutzt werden, um Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Für Fedora 36 steht mit dem Paket 'golang-1.18.4-1.fc36' ein Sicherheitsupdate im Status 'testing' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2022-1705
Schwachstelle in Go ermöglicht einen HTTP-Request-Smuggling-AngriffCVE-2022-1962
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-28131
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-30630
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-30631
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-30632
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-30633
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-30635
Schwachstelle in Go ermöglicht Denial-of-Service-AngriffCVE-2022-32148
Schwachstelle in Go ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.