Golang 1.24.x < 1.24.8 / 1.25.x < 1.25.2 複数の脆弱性qZN5nc-mBgAJ

high Nessus プラグイン ID 271201

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているGolangのバージョンは、より前の 1.24.x1.24.8、 1.25.x より前の 1.25.2です。したがって、qZN5nc-mBgAJアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

- Parse 機能により、IPv6 アドレス以外の値が、URL のホストコンポーネント内で角括弧に含まれることを許可していました。RFC 3986では、IPv6アドレスを角括弧で囲み、ホストコンポーネントに含める可能性があります。例: 「http://[::1]/」。IPv4 アドレスとホスト名は、角括弧内に表示できません。解析では、この要件が強制されていませんでした。CVE-2025-47912

- tar.Reader は、GNU tar pax 1.0 スパースファイルのスパース領域データブロック数に最大サイズを設定していませんでした。悪意をもって細工されたアーカイブにより、Reader が無制限の量のデータをアーカイブからメモリへ読み取る可能性があります。圧縮されたソースから読み取るとき、小さな圧縮入力が大きな割り当てを引き起こす可能性があります。CVE-2025-58183

- DSA パブリックキーを含む証明書チェーンを検証すると、Equal メソッドを実装すると想定するインターフェイスキャストによって、プログラムがパニックする可能性があります。これは、任意の証明書チェーンを検証するプログラムに影響を与えます。CVE-2025-58188

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。