Debian dla-4151 golang-github-gorilla-csrf-dev - 安全更新

medium Nessus 插件 ID 235057

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

远程 Debian 11 主机上安装有受 dla-4151 公告中提及的漏洞影响的程序包。

- ------------------------------------------------- ------------------------- Debian LTS 公告 DLA-4151-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2025 年 5 月 1 日 https://wiki.debian.org/LTS
- --------------------------------------------------------------------------

程序包golang-github-gorilla-csrf 版本1.6.2-2+deb11u1 CVE ID CVE-2025-24358 Debian 缺陷1103584

在 Go 的 gorilla/csrf 程序包中发现以下漏洞

在 1.7.3之前的版本中gorilla/csrf 未针对允许列表验证 Origin 标头。仅当其认为正在通过 TLS 为请求提供服务时才会针对跨源请求执行其 Referer 标头验证。它通过检查 r.URL.Scheme 值来确定这一点。但是根据 Go 规范从未为服务器请求填充此值因此实际中并未运行此检查。此漏洞允许已在子域或顶级域上获得 XSS 的攻击者对共享相同顶级域的 gorilla/csrf 保护目标执行经身份验证的表单提交。

对于 Debian 11 Bullseye已在版本 1.6.2-2+deb11u1 中修复此问题。

已重新构建以下 Go 程序包以修复此问题：

golang-chroma golang-github-alecthomas-chroma-devgolang-github-niklasfasching-go-org-devgolang-github-yuin-goldmark-highlighting-devgo-org hugo

我们建议您升级这些程序包。

如需 golang-github-gorilla-csrf 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/golang-github-gorilla-csrf

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。