検出

SUSE SLED15/ SLES15セキュリティ更新プログラム:go1.15 (SUSE-SU-2020:2776-1)

medium Nessus プラグイン ID 143651

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

go1.15(2020-08-11リリース) Go 1.15はGoのメジャーリリースです。

go1.15.xマイナーリリースが、2021年8月まで提供されます。

https://github.com/golang/go/wiki/Go-Release-Cycle

変更のほとんどは、ツールチェーン、ランタイム、およびライブラリの実装に含まれています。これまでどおり、このリリースはGo 1の互換性保証を維持します。ほぼすべてのGoプログラムが以前と同様に引き続きコンパイルおよび実行されることが予想されます。

リリースノートhttps://golang.org/doc/go1.15を参照してください。OBS環境およびSUSE/openSUSEに関連する抜粋は以下のとおりです:

goコマンドのモジュールサポートは実稼働で使用する準備ができているため、すべてのユーザーは依存関係管理のためにGoモジュールに移行することが推奨されます。

モジュールキャッシュ:モジュールキャッシュの場所を、GOMODCACHE環境変数で設定できるようになりました。GOMODCACHEのデフォルト値は、この変更の前のモジュールキャッシュの場所であるGOPATH[0]/pkg/modです。

コンパイラフラグ解析:go testおよびgo vetのフラグ解析に関するさまざまな問題が修正されました。特に、GOFLAGSで指定されたフラグはより一貫して処理され、-outputdirフラグは、(個々のテストの作業ディレクトリではなく)goコマンドの作業ディレクトリに対する相対パスを解釈するようになりました。

GOPROXY環境変数が、エラーを返すプロキシのスキップをサポートするようになりました。プロキシURLは、カンマ(,)またはパイプ文字(|)で分離できるようになりました。プロキシURLの後にカンマが続く場合、goコマンドは404または410 HTTP応答の後にリスト内の次のプロキシのみを試行します。プロキシURLの後にパイプ文字が続く場合、goコマンドはエラーの後にリスト内の次のプロキシを試行します。GOPROXYのデフォルト値は https://proxy.golang.org,directのままであり、エラーの場合にdirectにフォールバックしません。

Unixシステムで、SIGSEGV、SIGBUS、またはSIGFPEシグナルをGoプログラムに送信するためにkillコマンドまたはkillシステムコールが使用されている場合、およびシグナルがos/signal.Notifyを介して処理されていない場合、Goプログラムがスタックトレースで確実にクラッシュするようになります。以前のリリースでは、この動作は予測不可能でした。

小さなオブジェクトの割り当てで、高コアカウントでのパフォーマンスが大きく改善し、最悪の場合のレイテンシが短縮されました。

Go 1.15は、特定のタイプのGCメタデータを排除し、未使用タイプのメタデータをより積極的に排除することで、一般的なバイナリサイズをGo 1.14と比較して約5%削減します。

ツールチェーンは、関数を32バイト境界に合わせ、ジャンプ命令をパディングすることで、GOARCH = amd64のIntel CPUエラータSKX102を緩和するようになりました。このパディングはバイナリサイズを増やしますが、これは上記のバイナリサイズの改善で十分に補われます。

Go 1.15は-spectreフラグをコンパイラとアセンブラの両方に追加し、Spectreの緩和を有効にできるようにします。これらはほとんど必要ないものであり、主に「多層防御」メカニズムとして提供されています。詳細については、Spectre Go wikiページを参照してください。

コンパイラは、適用される宣言に対して意味を持たない//go: コンパイラディレクティブを「misplaced compiler directive」エラーで拒否するようになりました。このような不適切に適用されたディレクティブは、以前から破壊されていましたが、コンパイラによって警告なしに無視されていました。

Goリンカーに対する大幅な改善。これにより、リンカーリソース使用率(時間とメモリの両方)が削減され、コードの堅牢性/維持性が改善されます。リンクは20%高速化され、必要なメモリは平均30%減少します。これらの変更は、Goリンカーを最新化するための複数リリースのプロジェクトの一部であり、将来のリリースではさらなるリンカーの改善が期待されます。

リンカーが

linux/amd64およびlinux/arm64で-buildmode=pieの内部リンクモードにデフォルト設定されるようになったため、これらの構成でCリンカーは不要になりました。

Linuxの64ビットRISC-Vポートの安定性とパフォーマンスの改善が進められています(GOOS=linux、GOARCH=riscv64)。非同期プリエンプションもサポートするようになりました。

crypto/x509: サブジェクトの別名が存在しない場合にX.509証明書のCommonNameフィールドをホスト名として扱う廃止されたレガシーの動作は、現在はデフォルトで無効になっています。値x509ignoreCN=0をGODEBUG環境変数に追加することで、一時的に再度有効にすることができます。CommonNameが無効なホスト名の場合、GODEBUGの設定に関係なく常に無視されることに注意してください。無効な名前には、英字、数字、ハイフン、アンダースコア以外の文字を含む名前、空のラベルまたは末尾のドットを含む名前があります。

crypto/x509: 2020年7月28日より前にrds-ca-2019証明書に対して作成または更新されたAWS DBインスタンスを含むgo1.15アプリケーションの場合、証明書を再度更新する必要があります。2020年7月28日以降にDBインスタンスを作成または証明書を更新した場合は、何もする必要はありません。詳細については、go#39568を参照してください

この更新では go1.15.2(2020年9月9日にリリース)が出荷され、コンパイラ、ランタイム、ドキュメント、goコマンド、およびnet/mail、os、同期、テストパッケージに対する修正が含まれています。

go#41193 net/http/fcgi:TestResponseWriterSniffsContentTypeテストの実行中に競合が検出されました

go#41178 doc:Go 1.14リリースノートに#34437の修正を含めます

go#41034 testing:LogfおよびErrorfによる競合をクリーンアップします

go#41011 sync:sync.Mapキーはガベージコレクションの対象になりません

go#40934 runtime:checkptrで、&^算術の使用時に間違った-raceフラグが設定されます

go#40900 internal/poll:CopyFileRangeが、4.10.0-40-genericを実行しているCircleCI Docker HostホストでEPERMを返します

go#40868 cmd/compile:R12は、PPC64での書き込みバリアコールに対して上書きできます

go#40849 testing:'=== PAUSE'行が次のログ行のテスト名を変更しません

go#40845 runtime:runtime.acquireLockRankでnewstackの場合のパニック

go#40805 cmd/test2json: パニックが合格としてマークされるテスト

go#40804 net/mail:1.15でのParseAddressList('')の動作の変更

go#40802 cmd/go:1.15:「go test」引数解析の変更

go#40798 cmd/compile:armでのアセンブリ後、インラインマーカーターゲットに到達できません

go#40772 cmd/compile:ssaでのコンパイラのクラッシュ:isNonNegativeの不適切なタイプ

go#40767 cmd/compile:ppc64xでのアセンブリ後、インラインマーカーターゲットに到達できません

go#40739 internal/poll:CopyFileRangeが、NFSマウント時にLinux 3.10.0カーネルでENOTSUPを返します

go#40412 runtime:golang環境内で呼び出された場合、Windowsサービスのライフサイクルイベントが不適切に動作します

go1.15.1(2020年9月1日リリース)には、net/http/cgiパッケージとnet/http/fcgiパッケージに対するセキュリティ修正が含まれています。

bsc#1176031 CVE-2020-24553:go net/http/cgi,net/http/fcgi:Content-Typeが指定されていない場合のクロスサイトスクリプティング(XSS)

go#41165 net/http/cgi,net/http/fcgi:Content-Typeが指定されていない場合のクロスサイトスクリプティング(XSS)

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Development Tools 15-SP2:

zypper in -t patch SUSE-SLE-Module-Development-Tools-15-SP2-2020-2776=1

SUSE Linux Enterprise Module for Development Tools 15-SP1:

zypper in -t patch SUSE-SLE-Module-Development-Tools-15-SP1-2020-2776=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1170826

https://bugzilla.suse.com/show_bug.cgi?id=1175132

https://bugzilla.suse.com/show_bug.cgi?id=1176031

https://github.com/golang/go/wiki/Go-Release-Cycle

https://golang.org/doc/go1.15.

https://proxy.golang.org,direct,

https://www.suse.com/security/cve/CVE-2020-24553/

http://www.nessus.org/u?d6691df4

プラグインの詳細

深刻度: Medium

ID: 143651

ファイル名: suse_SU-2020-2776-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2020/12/9

更新日: 2024/2/6

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2020-24553

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:go1.15, p-cpe:/a:novell:suse_linux:go1.15-doc, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/9/29

脆弱性公開日: 2020/9/2

参照情報

CVE: CVE-2020-24553