Debian DLA-2402-1: golang-go.cryptoセキュリティ更新

medium Nessus プラグイン ID 141271

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

CVE-2019-11840

Golang-googlecode-go-cryptoとして知られる補助的なGo暗号化ライブラリで問題が発見されました。256GiBを超えるキーストリームが生成された場合、またはカウンターが32ビットを超えて増加した場合、amd64の実装はまず不適切な出力を生成し、次に以前に生成されたキーストリームに戻ります。keystreamバイトが繰り返されると、暗号化アプリケーションの機密性が失われたり、CSPRNGアプリケーションが予測しやすくなったりする可能性があります。

CVE-2019-11841

補助的なGo暗号化ライブラリのcrypto/openpgp/clearsign/clearsign.goでメッセージ偽造の問題が発見されました。「Hash」Armor Headerは、署名に使用されるメッセージダイジェストアルゴリズムを指定します。一般に、ライブラリは Armor Header解析をスキップするため、攻撃者は任意のArmorヘッダーを埋め込むだけでなく、署名を無効にせずに任意のテキストをクリアテキストメッセージの先頭に追加することができます。

CVE-2020-9283

golang.org/x/cryptoでは、golang.org/x/crypto/sshパッケージの署名認証中にパニックが発生する可能性があります。クライアントは公開鍵を受け入れるSSHサーバーを攻撃できます。また、サーバーは任意のSSHクライアントを攻撃できます。

Debian 9「Stretch」では、これらの問題はバージョン1:0.0~git20170407.0.55a552f+REALLY.0.0~git20161012.0.5f31782-1+deb8u1で修正されています。

お使いのgolang-go.cryptoパッケージをアップグレードすることを推奨します。

golang-go.cryptoの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/golang-go.crypto

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。