检测

Rocky Linux 9:go-toolset and golang (RLSA-2023:3923)

critical Nessus 插件 ID 178051

语言:

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 9 主机上安装的多个程序包受到 RLSA-2023:3923 公告中提及的多个漏洞影响。

 - 使用 cgo 时,go 命令可能在构建时生成非预期的代码。这可能导致在运行使用 cgo 的 go 程序时发生意外情况。如果不受信任的模块包含名称中带换行符的目录,运行此模块则可能会导致此问题发生。使用 go 命令(即通过 go get)检索到的模块不受影响(使用 GOPATH-mode 检索到的模块,如 GO111MODULE=off)。(CVE-2023-29402)

 - 在 Unix 平台上,当使用 setuid/setgid 位运行二进制文件时,Go 运行时的行为将和之前保持一致。这在某些情况下可能很危险,例如在转储内存状态或假设状态为标准 i/o 文件描述符时。如果在关闭标准 I/O 文件描述符的情况下执行 setuid/setgid 二进制文件,则打开任何文件都可能导致使用提升的权限读取或写入意外内容。
 同样,如果 setuid/setgid 程序通过错误或信号终止,则可能泄漏其寄存器的内容。 (CVE-2023-29403)

 - 使用 cgo 时,go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时,可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。大量非可选标记的参数被错误地视为可选,从而允许通过 LDFLAGS 审查走私禁用的标记。这会影响 gc 和 gccgo 编译器的使用。(CVE-2023-29404)

 - 使用 cgo 时,go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时,可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当,导致可以通过 LDFLAGS 审查走私禁用的标记,方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://errata.rockylinux.org/RLSA-2023:3923

https://bugzilla.redhat.com/show_bug.cgi?id=2216965

https://bugzilla.redhat.com/show_bug.cgi?id=2217562

https://bugzilla.redhat.com/show_bug.cgi?id=2217565

https://bugzilla.redhat.com/show_bug.cgi?id=2217569

插件详情

严重性: Critical

ID: 178051

文件名: rocky_linux_RLSA-2023-3923.nasl

版本: 1.4

类型: local

发布时间: 2023/7/8

最近更新时间: 2023/12/8

支持的传感器: Continuous Assessment, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-29405

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:rocky:linux:golang-misc, p-cpe:/a:rocky:linux:golang-bin, p-cpe:/a:rocky:linux:golang-docs, p-cpe:/a:rocky:linux:golang-src, p-cpe:/a:rocky:linux:golang-tests, cpe:/o:rocky:linux:9, p-cpe:/a:rocky:linux:go-toolset, p-cpe:/a:rocky:linux:golang, p-cpe:/a:rocky:linux:golang-race

必需的 KB 项: Host/local_checks_enabled, Host/RockyLinux/release, Host/RockyLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2023/7/8

漏洞发布日期: 2023/6/8

参考资料信息

CVE: CVE-2023-29402, CVE-2023-29403, CVE-2023-29404, CVE-2023-29405

IAVB: 2023-B-0040-S, 2023-B-0080-S