Bulletin d'alerte Debian

DLA-1294-1 golang -- Mise à jour de sécurité pour LTS

Date du rapport :
25 février 2018
Paquets concernés :
golang
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-7187.
Plus de précisions :

Il avait une vulnérabilité d'exécution de commande arbitraire dans le langage de programmation Go.

L'implémentation de go get ne validait pas correctement les instructions import path pour :// ce qui permettait à des attaquants distants d'exécuter des commandes arbitraires du système d'exploitation à l'aide d'un site web contrefait.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2:1.0.2-1.1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets golang. L'équipe Debian LTS aimerait remercier Abhijith PA pour la préparation de cette mise à jour.