LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3395-1 golang-1.11

Bulletin d'alerte Debian

DLA-3395-1 golang-1.11 -- Mise à jour de sécurité pour LTS

Date du rapport :

19 avril 2023

Paquets concernés :

golang-1.11

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 989492, Bogue 991961.
Dans le dictionnaire CVE du Mitre : CVE-2020-28367, CVE-2021-33196, CVE-2021-36221, CVE-2021-38297, CVE-2021-39293, CVE-2021-41771, CVE-2021-44716, CVE-2021-44717, CVE-2022-23806, CVE-2022-24921.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le langage de programmation Go. Un attaquant pouvait déclencher un déni de service (DoS), un calcul erroné du chiffrement, une fuite d'informations ou une exécution de code arbitraire sur l’ordinateur du développeur dans certaines situations.

• CVE-2020-28367

  Une injection de code dans la commande go avec cgo permettait l’exécution de code arbitraire au moment de la construction à l’aide de drapeaux gcc malveillants à l'aide d'une directive #cgo.

• CVE-2021-33196

  Dans archive/zip, un compte de fichiers contrefait (dans l’en-tête) de l’archive pouvait provoquer une panique NewReader ou OpenReader.

• CVE-2021-36221

  Go avait une situation de compétition qui pouvait conduire à une panique net/http/httputil de ReverseProxy lors d’une interruption ErrAbortHandler.

• CVE-2021-38297

  Go avait un dépassement de tampon à l’aide de grands arguments dans une invocation de fonction d’un module WASM quand GOARCH=wasm GOOS=js était utilisé.

• CVE-2021-39293

  Ce problème existait à cause d’un correctif incomplet pour le CVE-2021-33196.

• CVE-2021-41771

  ImportedSymbols dans debug/macho (pour Open ou OpenFat) accédait à un emplacement de mémoire après la fin du tampon, c’est-à-dire une situation de partition hors limites.

• CVE-2021-44716

  net/http permettait une consommation de mémoire hors contrôle dans le cache de canonisation d’en-tête à l’aide de requêtes HTTP/2.

• CVE-2021-44717

  Go dans UNIX permettait des opérations d’écriture dans un fichier non prévues ou une connexion réseau non prévue conséquemment à une fermeture de fichier du descripteur 0 de fichier après un épuisement de descripteurs de fichier.

• CVE-2022-23806

  Curve.IsOnCurve dans crypto/elliptic pouvait incorrectement renvoyer true dans des situations avec une valeur big.Int qui n’était pas un élément valable de champ.

• CVE-2022-24921

  regexp.Compile permettait un épuisement de pile à l'aide d’une expression profondément imbriquée.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.11.6-1+deb10u6.

Nous vous recommandons de mettre à jour vos paquets golang-1.11.

Pour disposer d'un état détaillé sur la sécurité de golang-1.11, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/golang-1.11.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.