低危 Google Golang 安全漏洞

CVE编号

CVE-2021-3114

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-01-27

漏洞描述

Golang是美国谷歌（Google）的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。 Go 1.14.14之前和1.15.7之前的 crypto 代码包存在安全漏洞，该漏洞源于当使用“go get”命令获取使用cgo的模块时(例如，cgo可以从不受信任的下载中执行gcc程序)，容易受到命令注入和远程代码执行的攻击。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/golang/go/commit/d95ca9138026cbe40e0857d76a81a16d03230871

参考链接
https://github.com/golang/go/commit/d95ca9138026cbe40e0857d76a81a16d03230871
https://groups.google.com/g/golang-announce/c/mperVMGa98w
https://lists.debian.org/debian-lts-announce/2021/03/msg00014.html
https://lists.debian.org/debian-lts-announce/2021/03/msg00015.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202208-02
https://security.netapp.com/advisory/ntap-20210219-0001/
https://www.debian.org/security/2021/dsa-4848

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.14.14
	运行在以下环境
	应用	golang	go	*	From (including) 1.15	Up to (excluding) 1.15.7
	运行在以下环境
	系统	alpine_3.13	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_3.14	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_3.15	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_3.16	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_3.17	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_3.18	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	alpine_edge	go	*		Up to (excluding) 1.15.7-r0
	运行在以下环境
	系统	amazon_2	golang	*		Up to (excluding) 1.15.8-1.amzn2.0.1
	运行在以下环境
	系统	anolis_os_8	golang-docs	*		Up to (excluding) 1.5.0-2
	运行在以下环境
	系统	centos_7	heketi-client	*		Up to (excluding) 10.4.0-2.el7rhgs
	运行在以下环境
	系统	centos_8	grafana-debuginfo	*		Up to (excluding) 1.15.7-1.module+el8.4.0+9580+3b0e6c24
	运行在以下环境
	系统	debian_10	golang-1.11	*		Up to (excluding) 1.11.6-1+deb10u4
	运行在以下环境
	系统	debian_11	golang-1.15	*		Up to (excluding) 1.15.7-1
	运行在以下环境
	系统	debian_9	golang-1.7	*		Up to (excluding) 1.7.4-2+deb9u3
	运行在以下环境
	系统	debian_sid	golang-1.15	*		Up to (including) 1.15.6-1
	运行在以下环境
	系统	fedora_33	golang-misc	*		Up to (excluding) 1.15.7-1.fc33
	运行在以下环境
	系统	fedora_EPEL_7	golang	*		Up to (excluding) 1.15.14-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.1	go1.14-race	*		Up to (excluding) 1.14.14-lp151.28.1
	运行在以下环境
	系统	opensuse_Leap_15.2	go1.15	*		Up to (excluding) 1.14.14-lp152.2.18.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.15.7-1.module+el8.4.0+20021+8a86d991
	运行在以下环境
	系统	redhat_7	heketi-client	*		Up to (excluding) 10.4.0-2.el7rhgs
	运行在以下环境
	系统	redhat_8	grafana-debuginfo	*		Up to (excluding) 1.15.7-1.module+el8.4.0+9580+3b0e6c24
	运行在以下环境
	系统	unionos_d	golang-1.11	*		Up to (excluding) 1.11.6-1+deb10u4

阿里云评分 3.5

• 攻击路径 本地
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-682	数值计算不正确

Exp相关链接

- avd.aliyun.com