检测

Ubuntu 20.04 LTS / 22.04 LTS / 23.04 / 23.10:Go 漏洞 (USN-6574-1)

high Nessus 插件 ID 187937

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 20.04 LTS / 22.04 LTS / 23.04 / 23.10 主机上安装的程序包受到 USN-6574-1 公告中提及的多个漏洞的影响。

 - html/模板程序包无法正确处理 HTML 类的注释标记,亦无法正确处理 <script> 内容脚本中的 hashbang #! 注释标记。这可能会导致模板解析器错误地解释 <script> 内容脚本中的内容,从而导致操作被错误转义。这可被用于执行 XSS 攻击。(CVE-2023-39318)

 - html/模版程序包没有应用正确的规则来处理出现的 <script, <!--, 情形和 </script within JS literals in ><script> 环境。这可能会导致模板解析器错误地将脚本上下文考虑为提前终止,从而导致操作被错误转义。这可被用于执行 XSS 攻击。(CVE-2023-39319)

 - Line 指令(“//line”)可用于绕过”//go: cgo_ 指令中的限制,允许在编译过程中传递被阻断的链接器和编译器标记。这可能会导致运行“go build”时意外执行任意代码。line 指令需要指令所在文件的绝对路径,这使得利用此问题变得更加复杂。(CVE-2023-39323)

 - 恶意 HTTP/2 客户端如快速创建请求并立即重置请求,可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制,但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后,HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求(这只能在客户端重置目前正在进行的请求之后发生)将排入队列,直到处理程序退出。如果请求队列变得太大,服务器将终止连接。对于手动配置 HTTP/2 的用户,golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流(请求)。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

 - 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时,恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据(最多约 1GiB)。区块扩展是一项很少使用的 HTTP 功能,允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小,区块读取器现在会出现错误。(CVE-2023-39326)

 - HTTP/2 协议允许拒绝服务(服务器资源消耗),因为取消请求即可快速重置许多流,正如在 2023 年 8 月到 2023 年 10 月期间在现实环境中利用的那样。(CVE-2023-44487)

 - 使用 go get 获取后缀为 .git 的模块可能会意外回退到不安全的 git: // 协议,如果模块无法通过安全的 https: // 和 git+ssh: // 协议使用,即使没有为所述模块设置 GOINSECURE。这仅影响不使用模块代理并直接获取模块的用户(即 GOPROXY=off)。(CVE-2023-45285)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-6574-1

插件详情

严重性: High

ID: 187937

文件名: ubuntu_USN-6574-1.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/1/11

最近更新时间: 2024/2/9

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.9

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2023-45285

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2023-39323

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:23.10, p-cpe:/a:canonical:ubuntu_linux:golang-1.20, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:golang-1.20-src, p-cpe:/a:canonical:ubuntu_linux:golang-1.21-go, cpe:/o:canonical:ubuntu_linux:23.04, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:golang-1.21-src, p-cpe:/a:canonical:ubuntu_linux:golang-1.20-go, p-cpe:/a:canonical:ubuntu_linux:golang-1.21

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/1/11

漏洞发布日期: 2023/9/7

CISA 已知可遭利用的漏洞到期日期: 2023/10/31

参考资料信息

CVE: CVE-2023-39318, CVE-2023-39319, CVE-2023-39323, CVE-2023-39325, CVE-2023-39326, CVE-2023-44487, CVE-2023-45285

USN: 6574-1