2023-2100: Go: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2023-09-11 16:34)
- Neues Advisory
- Version 2 (2023-09-21 10:30)
- Für Development Tools Module 15 SP4 und 15 SP5, openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP4 und 15 SP5, SUSE Linux Enterprise Real Time 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP4 und 15 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'go1.20' und 'go1.21' bereit, um die betreffenden Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen, Cross-Site-Scripting (XSS)-Angriffe und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Der Hersteller bietet die Versionen 1.21.1 und 1.20.8 von Go als Sicherheitsupdate an, um die Schwachstellen zu adressieren. Die Schwachstellen CVE-2023-39320, CVE-2023-39321 und CVE-2023-39322 betreffen nur den Versionszweig 1.21.
Für Fedora 38 steht mit dem Paket 'golang-1.20.8-1.fc38' ein Sicherheitsupdate im Status 'testing' zur Verfügung, um die betreffenden Schwachstellen zu beheben. Das Sicherheitsupdate behebt darüber hinaus Fehler in 'crypto/tls', 'net/http' und weiteren Komponenten.
Schwachstellen:
CVE-2023-39318
Schwachstelle in Go ermöglicht Cross-Site-Scripting-AngriffCVE-2023-39319
Schwachstelle in Go ermöglicht Cross-Site-Scripting-AngriffCVE-2023-39320
Schwachstelle in Go ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-39321 CVE-2023-39322
Schwachstellen in Go ermöglichen Denial-of-Service-Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.