Golang-1.21
Уязвимости
26
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.91969
Распределение по критичности
Критический
1
Высокий
11
Средний
14
Низкий
0
Также сопоставлено как (исходные строки): golang-1.21
Топ уязвимостей
CVE-2023-24531Команда go env документирована как выводящая сценарий оболочки, содержащий среду Go. Однако go env не очищает значения, поэтому выполнение его вывода в качестве сценария оболочки может вызвать различное плохое поведение, включая выполнение произвольных команд или вставку новых переменных среды. Эта проблема относительно незначительна, поскольку, как правило, если злоумышленник может установить произвольные переменные среды в системе, у него есть более эффективные векторы атаки, чем заставлять "go env" выводить их.
CVE-2023-39320Директива инструментария go.mod, введенная в Go 1.21, может быть использована для выполнения скриптов и бинарных файлов относительно корня модуля, когда команда "go" была выполнена в пределах модуля. Это относится как к модулям, загруженным с помощью команды "go" из прокси модуля, так и к модулям, загруженным непосредственно с помощью программного обеспечения VCS.
CVE-2023-39323Директивы строки ("//line") могут быть использованы для обхода ограничений на директивы "//go:cgo_", что позволяет передавать заблокированные флаги компоновщика и компилятора во время компиляции. Это может привести к неожиданному выполнению произвольного кода при запуске "go build". Директива строки требует абсолютного пути файла, в котором располагается директива, что делает эксплуатацию этой проблемы значительно более сложной.
CVE-2024-34156Вызов Decoder.Decode для сообщения, содержащего глубоко вложенные структуры, может вызвать панику из-за исчерпания стека. Это является продолжением CVE-2022-30635.
CVE-2024-24789Обработка пакетом archive/zip некоторых типов недопустимых zip-файлов отличается от поведения большинства реализаций zip. Это несовпадение может быть использовано для создания zip-файла, содержимое которого варьируется в зависимости от реализации, читающей файл. Пакет archive/zip теперь отвергает файлы, содержащие эти ошибки.
CVE-2024-24788Неправильное сообщение DNS в ответ на запрос может заставить функции Lookup застрять в бесконечном цикле.
CVE-2023-45288Злоумышленник может заставить конечную точку HTTP/2 прочитать произвольные объемы заголовков, отправив чрезмерное количество кадров CONTINUATION. Поддержание состояния HPACK требует анализа и обработки всех заголовков HEADERS и CONTINUATION в соединении. Когда заголовки запроса превышают MaxHeaderBytes, память не выделяется для хранения избыточных заголовков, но они по-прежнему анализируются. Это позволяет злоумышленнику заставить конечную точку HTTP/2 прочитать произвольные объемы заголовков, все связанные с запросом, который будет отклонен. Эти заголовки могут включать закодированные данные Хаффмана, которые значительно сложнее для получателя декодировать, чем для злоумышленника отправить. Исправление устанавливает предел на количество избыточных заголовков, которые мы будем обрабатывать, прежде чем закрыть соединение.
CVE-2023-45285Использование go get для получения модуля с суффиксом ".git" может неожиданно вернуться к небезопасному протоколу "git://", если модуль недоступен через безопасные протоколы "https://" и "git+ssh://", даже если GOINSECURE не установлен для данного модуля. Это касается только пользователей, которые не используют прокси модуля и получают модули напрямую (т.е. GOPROXY=off).
CVE-2023-45283Пакет filepath не распознает пути с префиксом \??\ как специальные. В Windows путь, начинающийся с \??\, является корневым локальным устройством, эквивалентным пути, начинающемуся с \\?. Пути с префиксом \??\ могут использоваться для доступа к произвольным местоположениям на системе. Например, путь \??\c:\ эквивалентен более привычному пути c:\x. До исправления Clean мог преобразовать корневой путь, такой как \a\..\??\b, в корневой локальный путь \??\b. Теперь Clean преобразует это в .\??\b. Аналогично, Join(\, ??, b) мог преобразовать на вид неприметную последовательность элементов пути в корневой локальный путь \??\b. Теперь Join преобразует это в \.\??\b. В дополнение к исправлению, с исправлением IsAbs теперь правильно сообщает, что пути, начинающиеся с \??\, являются абсолютными, а VolumeName правильно сообщает префикс \??\ как имя тома. ОБНОВЛЕНИЕ: Go 1.20.11 и Go 1.21.4 непреднамеренно изменили определение имени тома в Windows путях, начинающихся с \?, в результате чего filepath.Clean(\?\c:) возвращает \?\c: вместо \?\c:\ (среди прочих эффектов). Предыдущее поведение было восстановлено.
CVE-2023-39325Злонамеренный клиент HTTP/2, который быстро создаёт запросы и сразу же сбрасывает их, может вызвать чрезмерное потребление ресурсов сервера. Хотя общее количество запросов ограничено настройкой http2.Server.MaxConcurrentStreams, сброс текущего запроса позволяет злоумышленнику создать новый запрос, пока существующий все еще выполняется. С применением исправления сервера HTTP/2 теперь ограничивают количество одновременно выполняемых обработчиков goroutines в соответствии с ограничением конкуренции потоков (MaxConcurrentStreams). Новые запросы, приходящие на пределе (что может произойти только после сброса клиентом существующего запроса), будут помещены в очередь до выхода обработчика. Если очередь запросов вырастет слишком большой, сервер завершит соединение. Эта проблема также исправлена в golang.org/x/net/http2 для пользователей, вручную настраивающих HTTP/2. Стандартный лимит конкуренции потоков составляет 250 потоков (запросов) на одно соединение HTTP/2. Это значение может быть настроено с помощью пакета golang.org/x/net/http2; смотрите настройку Server.MaxConcurrentStreams и функцию ConfigureServer.
CVE-2023-39322Соединения QUIC не устанавливают верхнюю границу на объем данных, буферизуемых при чтении сообщений после установки соединения, что позволяет злонамеренному соединению QUIC вызвать неконтролируемый рост памяти. С поправкой соединения теперь последовательно отклоняют сообщения больше 65KiB.
CVE-2023-39321Обработка неп полного сообщения после установки соединения QUIC может привести к панике.
CVE-2024-24790Различные методы Is (IsPrivate, IsLoopback и т.д.) не работали должным образом для IPv4- и IPv6-адресов, возвращая false для адресов, которые в их традиционных IPv4-формах возвращали бы true.
CVE-2024-24785Если ошибки, возвращенные методами MarshalJSON, содержат данные, контролируемые пользователем, они могут быть использованы для нарушения автоэкранирования контекста пакета html/template, что позволит последующим действиям внедрять неожиданный контент в шаблоны.
CVE-2024-24787На Darwin компиляция модуля Go, который содержит CGO, может вызвать выполнение произвольного кода при использовании версии ld от Apple из-за использования флага -lto_library в директиве "#cgo LDFLAGS".
CVE-2023-39319Пакет html/template не применяет правильные правила обработки вхождений "<script", "<!--" и "</script" в JS-литералах в контекстах <script>. Это может привести к тому, что анализатор шаблонов неправильно посчитает контексты скриптов преждевременно завершенными, что приведет к неправильному экранированию действий. Это может быть использовано для выполнения атаки XSS.
CVE-2023-39318Пакет html/template некорректно обрабатывает HTML-подобные токены комментариев "" и токены комментариев hashbang "#!" в контекстах <script>. Это может привести к неправильной интерпретации содержимого контекстов <script> анализатором шаблонов, что приводит к неправильному экранированию действий. Это может быть использовано для выполнения атаки XSS.
CVE-2024-34158Вызов Parse в строке тега сборки "// +build" с глубоко вложенными выражениями может вызвать панику из-за исчерпания стека.
CVE-2024-34155Вызов любой из функций Parse в исходном коде Go, который содержит глубоко вложенные литералы, может вызвать панику из-за исчерпания стека.
CVE-2024-24791Клиент net/http HTTP/1.1 неправильно обрабатывал случай, когда сервер отвечает на запрос с заголовком "Expect: 100-continue" с неинформационным статусом (200 или выше). Эта неправильная обработка может оставить клиентское соединение в недействительном состоянии, когда следующий запрос, отправленный по соединению, завершится неудачей. Злоумышленник, отправляющий запрос прокси-серверу net/http/httputil.ReverseProxy, может использовать эту неправильную обработку, чтобы вызвать отказ в обслуживании, отправляя запросы "Expect: 100-continue", которые вызывают неинформационный ответ от внутреннего сервера. Каждый такой запрос оставляет прокси-сервер с недействительным соединением и приводит к сбою одного последующего запроса, использующего это соединение.
CVE-2024-24783Проверка цепочки сертификатов, содержащей сертификат с неизвестным алгоритмом открытого ключа, приведет к панике в Certificate.Verify. Это затрагивает всех клиентов crypto/tls и серверы, которые устанавливают Config.ClientAuth в VerifyClientCertIfGiven или RequireAndVerifyClientCert. Поведение по умолчанию для TLS-серверов заключается в том, что они не проверяют клиентские сертификаты.
CVE-2024-24784Функция ParseAddressList неправильно обрабатывает комментарии (текст в скобках) внутри отображаемых имен. Поскольку это несовпадение с соответствующими парсерами адресов, это может привести к различным решениям о доверии, принимаемым программами, использующими разные парсеры.
CVE-2023-45290При анализе многочастной формы (либо явно с помощью Request.ParseMultipartForm, либо неявно с помощью Request.FormValue, Request.PostFormValue или Request.FormFile) ограничения на общий размер разобранной формы не применялись к памяти,Consumed во время чтения одной строки формы. Это позволяет злоумышленно созданному вводу с очень длинными строками вызвать выделение произвольно больших объемов памяти, что может привести к исчерпанию памяти. С исправлением функция ParseMultipartForm теперь правильно ограничивает максимальный размер строк формы.
CVE-2023-45289При следовании за HTTP-перенаправлением на домен, который не совпадает с поддоменом или не является точным совпадением начального домена, http.Client не передает чувствительные заголовки, такие как "Authorization" или "Cookie". Например, перенаправление с foo.com на www.foo.com передаст заголовок Authorization, но перенаправление на bar.com - нет. Злоумышленно созданное HTTP-перенаправление может привести к неожиданной передаче чувствительных заголовков.
CVE-2023-45284В Windows функция IsLocal неправильно определяет зарезервированные имена устройств в некоторых случаях. Зарезервированные имена, за которыми следуют пробелы, такие как "COM1 ", и зарезервированные имена "COM" и "LPT", за которыми следуют надстрочные символы 1, 2 или 3, неправильно сообщаются как локальные. С исправлением IsLocal теперь правильно сообщает об этих именах как о нелокальных.