Golang
Уязвимости
24
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.83433
Распределение по критичности
Критический
3
Высокий
10
Средний
11
Низкий
0
Также сопоставлено как (исходные строки): golang
Топ уязвимостей
CVE-2015-5741Библиотека net/http в net/http/transfer.go в Go до версии 1.4.3 неправильно анализирует заголовки HTTP, что позволяет удаленным злоумышленникам проводить атаки с контрабандой HTTP-запросов через запрос, содержащий поля заголовков Content-Length и Transfer-Encoding.
CVE-2015-5740Библиотека net/http в net/http/transfer.go в Go до версии 1.4.3 неправильно анализирует заголовки HTTP, что позволяет удаленным злоумышленникам проводить атаки с контрабандой HTTP-запросов через запрос с двумя заголовками Content-length.
CVE-2015-5739Библиотека net/http в net/textproto/reader.go в Go до версии 1.4.3 неправильно анализирует ключи заголовков HTTP, что позволяет удаленным злоумышленникам проводить атаки с контрабандой HTTP-запросов через пробел вместо дефиса, как продемонстрировано "Content Length" вместо "Content-Length".
CVE-2016-3958Уязвимость ненадежного пути поиска в Go до версий 1.5.4 и 1.6.x до 1.6.1 в Windows позволяет локальным пользователям получать привилегии через троянский DLL в текущем рабочем каталоге, что связано с использованием функции LoadLibrary.
CVE-2020-7919Go до версий 1.12.16 и 1.13.x до 1.13.7 (и пакет crypto/cryptobyte до 0.0.0-20200124225646-8b5121be2f68 для Go) допускает атаки на клиентов (приводящие к панике) через неправильно сформированный сертификат X.509.
CVE-2019-9514Некоторые реализации HTTP/2 уязвимы для reset-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник открывает несколько потоков и отправляет недействительный запрос по каждому потоку, который должен вызвать поток кадров RST_STREAM от пира. В зависимости от того, как пир ставит в очередь кадры RST_STREAM, это может потреблять избыточную память, ЦП или и то, и другое.
CVE-2019-9512Некоторые реализации HTTP/2 уязвимы для ping-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет непрерывные пинги HTTP/2 пиру, заставляя пира создавать внутреннюю очередь ответов. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2019-6486Go до 1.10.8 и 1.11.x до 1.11.5 неправильно обрабатывает эллиптические кривые P-521 и P-384, что позволяет злоумышленникам вызывать отказ в обслуживании (потребление ЦП) или, возможно, проводить атаки восстановления закрытого ключа ECDH.
CVE-2019-17596Go до версий 1.12.11 и 1.3.x до 1.13.2 может вызвать панику при попытке обработки сетевого трафика, содержащего недопустимый открытый ключ DSA. Существует несколько сценариев атак, таких как трафик от клиента к серверу, который проверяет сертификаты клиентов.
CVE-2019-14809net/url в Go до 1.11.13 и 1.12.x до 1.12.8 неправильно обрабатывает неправильно сформированные хосты в URL-адресах, что приводит к обходу авторизации в некоторых приложениях. Это связано с полем Host с суффиксом, отсутствующим как в Hostname(), так и в Port(), и связано с нечисловым номером порта. Например, злоумышленник может составить специально созданный URL-адрес javascript://, который приведет к имени хоста google.com.
CVE-2017-15041Go версий до 1.8.4 и 1.9.x до 1.9.1 допускает удаленное выполнение команд "go get". Используя пользовательские домены, можно организовать так, что example.com/pkg1 указывает на репозиторий Subversion, а example.com/pkg1/pkg2 - на репозиторий Git. Если репозиторий Subversion включает извлечение Git в свой каталог pkg2 и выполняется некоторая другая работа для обеспечения правильного порядка операций, то "go get" можно обманом заставить повторно использовать эту операцию Git для получения кода из pkg2. Если в извлечении Git репозитория Subversion есть вредоносные команды в .git/hooks/, они будут выполняться в системе, запускающей "go get".
CVE-2015-8618Код Int.Exp Montgomery в библиотеке math/big в Go 1.5.x до 1.5.3 неправильно обрабатывает распространение переноса и выдает неверные выходные данные, что облегчает злоумышленникам получение частных ключей RSA через неуказанные векторы.
CVE-2018-7187Реализация "go get" в Go 1.9.4, когда используется параметр командной строки -insecure, не проверяет путь импорта (get/vcs.go проверяет только наличие "://" в любом месте строки), что позволяет удаленным злоумышленникам выполнять произвольные команды ОС через специально созданный веб-сайт.
CVE-2019-16276Go версий до 1.12.10 и 1.13.x до 1.13.1 допускает HTTP Request Smuggling.
CVE-2020-15586Go до версий 1.13.13 и 1.14.x до 1.14.5 имеет состояние гонки в некоторых net/http-серверах, как показано на примере httputil.ReverseProxy Handler, поскольку он одновременно считывает тело запроса и записывает ответ.
CVE-2017-1000098Метод Request.ParseMultipartForm пакета net/http начинает запись во временные файлы, как только размер тела запроса превышает заданный предел «maxMemory». Злоумышленник мог сгенерировать многокомпонентный запрос, составленный таким образом, что на сервере закончились дескрипторы файлов.
CVE-2018-6574Go до версии 1.8.7, Go 1.9.x до версии 1.9.4 и предварительные выпуски Go 1.10 до Go 1.10rc2 позволяют удаленное выполнение команд "go get" во время сборки исходного кода, используя функцию плагина gcc или clang, поскольку аргументы -fplugin= и -plugin= не были заблокированы.
CVE-2019-9741Обнаружена проблема в net/http в Go 1.11.5. Возможна инъекция CRLF, если злоумышленник контролирует параметр url, как продемонстрировано вторым аргументом для http.NewRequest с \r\n с последующим HTTP-заголовком или командой Redis.
CVE-2017-15042В Go версий до 1.8.4 и 1.9.x до 1.9.1 существует проблема с незашифрованным текстом. RFC 4954 требует, чтобы во время SMTP схема аутентификации PLAIN использовалась только для сетевых соединений, защищенных TLS. Исходная реализация smtp.PlainAuth в Go 1.0 обеспечивала это требование, и это было задокументировано. В 2013 году, в issue #5184, это было изменено, так что сервер может решать, является ли PLAIN приемлемым. В результате, если вы настроите SMTP-сервер "человек посередине", который не рекламирует STARTTLS и рекламирует, что аутентификация PLAIN в порядке, реализация smtp.PlainAuth отправит имя пользователя и пароль.
CVE-2016-3959Функция Verify в crypto/dsa/dsa.go в Go до версий 1.5.4 и 1.6.x до 1.6.1 неправильно проверяет параметры, переданные в библиотеку больших целых чисел, что может позволить удаленным злоумышленникам вызывать отказ в обслуживании (бесконечный цикл) через специально созданный открытый ключ для программы, которая использует клиентские сертификаты HTTPS или библиотеки SSH-сервера.
CVE-2016-5386Пакет net/http в Go до 1.6 не пытается устранить конфликты пространств имен RFC 3875 section 4.1.18 и поэтому не защищает CGI-приложения от наличия ненадежных клиентских данных в переменной среды HTTP_PROXY, что может позволить удаленным злоумышленникам перенаправлять исходящий HTTP-трафик CGI-приложения на произвольный прокси-сервер через специально созданный заголовок Proxy в HTTP-запросе, также известной как проблема "httpoxy".
CVE-2017-8932Ошибка в стандартной библиотеке ScalarMult реализации кривой P-256 для архитектур amd64 в Go до версий 1.7.6 и 1.8.x до 1.8.2 приводит к созданию неправильных результатов для определенных входных точек. Адаптивная атака может быть предпринята для постепенного извлечения скалярного входа в ScalarMult путем отправки специально созданных точек и наблюдения за сбоями при получении правильного вывода. Это приводит к атаке полного восстановления ключа против статического ECDH, как используется в популярных библиотеках JWT.
CVE-2017-1000097В Darwin предпочтения пользователя в отношении доверия к корневым сертификатам не учитывались. Если у пользователя в Keychain был загружен корневой сертификат, который явно не был доверенным, программа Go все равно проверяла бы соединение с использованием этого корневого сертификата.
CVE-2014-7189crpyto/tls в Go 1.1 до 1.3.2, когда включен SessionTicketsDisabled, позволяет злоумышленникам типа "человек посередине" подменять клиентов через неуказанные векторы.