检测

Golang 1.26.x < 1.26.1 多个漏洞

medium Nessus 插件 ID 301251

语言:

简介

远程主机上安装的应用程序受到多个漏洞的影响。

描述

远程主机上运行的 Golang 版本低于 1.26.1。因此会受到公告中提及的多个漏洞影响。

 - 当验证一个证书链其包含的证书中包含多个电子邮件地址限制由完整的电子邮件地址组成这些限制共享通用的本地部分“@”字符之前的地址部分但不同的域部分地址“@”字符后)则将无法正确应用这些限制并且仅考虑最后一个限制。这样调用 Certificate.Verify 就可以返回包含电子邮件地址的链中的证书这些地址被相关限制所不允许或被排除在外。由于名称限制检查会在链构建完成之后发生因此这仅适用于链到受信任的根 (VerifyOptions.Roots 中或系统根证书池中的根证书) 的证书链需要受信任的 CA 颁发包含允许或排除的电子邮件地址。 (CVE-2026-27137)

 - 当链中的一个证书具有空 DNS 名称而链中的另一个证书具有排除名称限制时证书验证可能发生错误。这可使直接验证 X.509 证书链的程序或使用 TLS 的程序崩溃。由于名称限制检查在链构建完成后发生此问题仅适用于链到受信任根的证书链VerifyOptions.Roots 中或系统根证书池中的根证书需要受信任 CA 来颁发包含畸形 DNS 的证书名称。 (CVE-2026-27138)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Golang Go 1.26.1 或更新版本。

另见

https://github.com/golang/go/issues/77952

https://github.com/golang/go/issues/77953

https://groups.google.com/g/golang-announce/c/EdhZqrQ98hk

插件详情

严重性: Medium

ID: 301251

文件名: golang_1_26_1.nasl

版本: 1.1

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2026/3/6

最近更新时间: 2026/3/6

支持的传感器: Nessus Agent, Nessus

风险信息

CVSS 分数理由: Score based on an in-depth analysis by tenable.

VPR

风险因素: Medium

分数: 4.4

CVSS v3

风险因素: Medium

基本分数: 5.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

漏洞信息

CPE: cpe:/a:golang:go

必需的 KB 项: installed_sw/Golang Go Programming Language

补丁发布日期: 2026/3/5

漏洞发布日期: 2026/2/26

参考资料信息

CVE: CVE-2026-27137, CVE-2026-27138