Golang 1.24.x < 1.24.8 / 1.25.x < 1.25.2 多种漏洞 (qZN5nc-mBgAJ)

high Nessus 插件 ID 271201

语言：

简介

远程主机上安装的应用程序受到多个漏洞的影响。

描述

远程主机上运行的 Golang 版本为低于 1.24.8] 的 1.24.x 、低于 1.25.x 的 1.25.2。因此如 qZN5nc-mBgAJ 公告所述受到多个漏洞的影响。

- Parse 函数允许 URL 的主机组件中的方括号中包含 IPv6 地址以外的值。RFC 3986 允许将 IPv6 地址包含在 host 组件内并括在方括号中。例如“http://[::1]/”。方括号内不得出现 IPv4 地址和主机名。Parse 未强制执行此要求。 (CVE-2025-47912)

- tar.Reader 未为 GNU tar pax 1.0 稀疏文件中的稀疏区域数据块数量设置最大大小。包含大量稀疏区域的恶意构建的存档可导致读取器将无限量的数据从存档读取到内存中。从压缩源读取时较小的压缩输入可导致大型分配。 (CVE-2025-58183)

- 验证包含 DSA 公钥的证书链可造成程序错误这是由假设这些证书链实现 Equal 方法的接口转换所导致。这会影响用于验证任意证书链的程序。 (CVE-2025-58188)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。