Google Golang 安全漏洞

admin

0
文章

0
评论

2023-11-30 04:45:43 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Google Golang 安全漏洞

CVE编号

CVE-2022-41720

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-12-08

漏洞描述

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。Google Golang 1.18.9之前版本、1.19.4之前版本、1.19.0版本存在安全漏洞，该漏洞源于os.DirFS 函数和 http.Dir 类型提供对以给定目录为根的文件树的访问，这些函数允许访问该根目录下的 Windows 设备文件，攻击者利用该漏洞可以通过恶意制作的路径从驱动器中逃逸并访问系统上的任何路径。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://go.dev/cl/455716
https://go.dev/issue/56694
https://groups.google.com/g/golang-announce/c/L_3rmdT0BMU/m/yZDrXjIiBQAJ
https://pkg.go.dev/vuln/GO-2022-1143

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.18.9
	运行在以下环境
	应用	golang	go	*	From (including) 1.19.0	Up to (excluding) 1.19.4
	运行在以下环境
	系统	debian_10	golang-1.11	*		Up to (including) 1.11.6-1+deb10u4
	运行在以下环境
	系统	debian_11	golang-1.15	*		Up to (including) 1.15.15-1~deb11u4
	运行在以下环境
	系统	debian_12	golang-1.19	*		Up to (excluding) 1.19.4-1
	运行在以下环境
	系统	debian_sid	golang-1.19	*		Up to (excluding) 1.19.4-1
	运行在以下环境
	系统	fedora_EPEL_7	golang-race	*		Up to (excluding) 1.18.9-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.3	go1.19-doc	*		Up to (excluding) 1.18.9-150000.1.40.1
	运行在以下环境
	系统	opensuse_Leap_15.4	go1.19-doc	*		Up to (excluding) 1.18.10.1-150000.1.9.1
	运行在以下环境
	系统	opensuse_Leap_15.5	go1.18-openssl	*		Up to (excluding) 1.18.10.1-150000.1.9.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 1.19.4-2.0.1.module+el8.7.0+20922+47ac84ba