golangのnet/http（net/textproto経由）はHTTPヘッダーのコロンの前に空白が含まれるHTTPリクエストを適切に解釈しないことがわかりました。攻撃者がこれを悪用し、Goに実装されているサーバーの背後にプロキシまたはファイアウォールが配置されているときに、HTTPリクエストをスマグリングしたり、特定のネットワーク構成の場合にフィルターをバイパスしたりする可能性があります。（CVE-2019-16276）

検出

Amazon Linux 2：golang（ALAS-2020-1383）

high Nessus プラグイン ID 133093

バージョン 1.2