golangのnet/http（net/textproto経由）はHTTPヘッダーのコロンの前に空白が含まれるHTTPリクエストを適切に解釈しないことがわかりました。攻撃者がこれを悪用し、プロキシまたはファイアウォールがGoに実装されているサーバーの後に配置されているとき、HTTPリクエストをスマグリングしたり、特定ネットワーク構成に応じてバイパスをフィルタリングしたりする可能性があります。（CVE-2019-16276）1.12.10より前、および1.13.1より前の1.13.xのGoはHTTPリクエストのスマグリングを受けます。（CVE-2019-16276）

検出

Amazon Linux AMI：golang（ALAS-2020-1336）

high Nessus プラグイン ID 133006

バージョン 1.3