検出

Golang < 1.21.8、1.22.x < 1.22.1 複数の脆弱性

medium Nessus プラグイン ID 191709

Language:

概要

リモートの Windows ホストにインストールされているアプリケーションは、複数の脆弱性による影響を受けます。

説明

リモートホストで実行している Golang のバージョンは、1.21.8 または 1.22.1 より前の 1.22.x です。したがって、以下の複数の脆弱性の影響を受けます。

 - 悪意を持って細工された HTTP リダイレクトにより、機密性の高いヘッダーが予期せず転送される可能性があります。(CVE-2023-45289)

 - 未知の公開鍵アルゴリズムを持つ証明書を含む証明書チェーンを検証すると、Certificate.Verify のエラーが発生します。これは、すべての crypto/tls クライアントと、Config.ClientAuth を VerifyClientCertIfGiven または RequireAndVerifyClientCert に設定するサーバーに影響します。デフォルトの動作では、TLS サーバーはクライアント証明書を検証しません。(CVE-2024-24783)

 - ParseAddressList 関数が、表示名内のコメント (括弧内のテキスト) を不適切に処理します。これは準拠しているアドレスパーサーとの不整合であるため、異なるパーサーを使用するプログラムによって異なる信頼の決定が行われる可能性があります。(CVE-2024-24784、CVE-2024-24785)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Golang Go バージョン 1.21.8、1.22.1、またはそれ以降にアップグレードしてください。

参考資料

https://pkg.go.dev/vuln/GO-2024-2598

https://pkg.go.dev/vuln/GO-2024-2600

https://pkg.go.dev/vuln/GO-2024-2609

https://pkg.go.dev/vuln/GO-2024-2610

プラグインの詳細

深刻度: Medium

ID: 191709

ファイル名: golang_1_22_1.nasl

バージョン: 1.2

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2024/3/7

更新日: 2024/4/5

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2023-45289

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:golang:go

必要な KB アイテム: installed_sw/Golang Go Programming Language, SMB/Registry/Enumerated

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/3/5

脆弱性公開日: 2024/3/5

参照情報

CVE: CVE-2023-45289, CVE-2024-24783, CVE-2024-24784, CVE-2024-24785

IAVB: 2024-B-0020-S