Bulletin d'alerte Debian

DLA-2592-1 golang-1.8 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 mars 2021
Paquets concernés :
golang-1.8
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 924630, Bogue 941173, Bogue 942628, Bogue 942629.
Dans le dictionnaire CVE du Mitre : CVE-2017-15041, CVE-2018-16873, CVE-2018-16874, CVE-2019-9741, CVE-2019-16276, CVE-2019-17596, CVE-2021-3114.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le langage de programmation Go. Un attaquant pourrait déclencher un déni de service (DoS), un contournement du contrôle d’accès et exécuter du code arbitraire sur l’ordinateur du développeur.

  • CVE-2017-15041

    Go permet une exécution de commande à distance go get. En utilisant des domaines personnalisés, il est possible d’obtenir que example.com/pkg1 pointe vers un dépôt Subversion mais que example.com/pkg1/pkg2 pointe vers un dépôt Git. Si le dépôt Subversion inclut une extraction Git dans son répertoire pkg2 et qu’une autre action est faite pour assurer un arrangement correct des opérations, go get peut être piégé pour réutiliser cette extraction Git pour rechercher du code de pkg2. Si l’extraction Git du dépôt Subversion possède des commandes malveillantes dans .git/hooks/, elles seront exécutées sur le système exécutant go get

  • CVE-2018-16873

    La commande go get est vulnérable à une exécution de code à distance lorsqu’elle est exécutée avec l’argument -u et si le chemin d’importation d’un paquet Go est malveillant, comme il peut traiter le répertoire parent comme une racine de dépôt Git, contenant une configuration malveillante.

  • CVE-2018-16874

    La commande go get est vulnérable à une traversée de répertoires lorsqu’elle est exécutée avec le chemin d’importation d’un paquet Go malveillant qui contient des accolades (droite ou gauche). L’attaquant peut provoquer une écriture arbitraire sur le système de fichiers, qui peut conduire à une exécution de code.

  • CVE-2019-9741

    Dans net/http, une injection CRLF est possible si l’attaquant contrôle un paramètre d’URL, comme le montre le second argument de http.NewRequest avec \r\n suivi par un en-tête HTTP ou une commande Redis.

  • CVE-2019-16276

    Go permet la dissimulation de requête HTTP.

  • CVE-2019-17596

    Go peut paniquer lors d’un essai de traiter un trafic réseau contenant une clé publique DSA non valable. Plusieurs scénarios d’attaque sont possibles tels que le trafic d’un client vers un serveur qui vérifie les certificats de client.

  • CVE-2021-3114

    crypto/elliptic/p224.go peut générer des sorties incorrectes, relatives à un dépassement de capacité par le bas de la partie inférieure lors de la réduction globale finale dans le champ P-224.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.8.1-1+deb9u3.

Nous vous recommandons de mettre à jour vos paquets golang-1.8.

Pour disposer d'un état détaillé sur la sécurité de golang-1.8, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/golang-1.8.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.