远程主机受到 GLSA-201803-03 中所述漏洞的影响（Go：用户协助的任意代码执行）在源代码建立阶段中发现一个因“go get”命令所致的命令注入缺陷，未阻止 -fplugin= 和 -plugin 参数。影响：远程攻击者可引诱用户使用“go get”处理包含恶意构建的构建指令，这可能导致以进程权限执行任意代码。解决方法：目前无任何已知的解决方法。

golang 的更新现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。

golang 程序包提供 Go 编程语言编译器。

下列程序包已升级到更高的上游版本：
golang (1.9.4)。 （BZ#1479095， BZ#1499827）

安全修复：

* golang：'go get' 或 'go get -d' 期间的任意代码执行（CVE-2017-15041）

* golang：smtp.PlainAuth 容易受到中间人密码收集的影响（CVE-2017-15042）

* golang：在 'go get' 期间通过 C 编译器选项执行任意代码(CVE-2018-6574)

有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

更多变更：

如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.5 版本说明。

通过 C 编译器选项进行 'go get' 期间发生任意代码执行：在创建期间，Go 的 'go get' 命令处理 gcc 和 clang 敏感选项的方式中发现一个任意命令执行缺陷。能够主控恶意存储库的远程攻击者可能会利用此缺陷，在客户端造成任意命令执行。(CVE-2018-6574) 在使用 -insecure 命令行选项时，Go 1.9.4 中的 'go get' 实现未验证导入路径（get/vcs.go 仅检查字符串中的任何位置是否有 '://'），进而允许远程攻击者通过特制的网站执行任意 OS 命令。(CVE-2018-7187)

在 go get 或 go get -d 期间发现任意代码执行。Go 1.8.4 之前版本和 1.9.1 之前的 1.9.x 版本允许 'go get' 远程命令执行。使用自定义网域时，可以通过安排，将 example.com/pkg1 指向 Subversion 存储库，而将 example.com/pkg1/pkg2 指向 Git 存储库。如果 Subversion 存储库在其 pkg2 目录中含有 Git 检出，而且完成了其他特定工作来确保操作的正确顺序，则可以诱骗 'go get' 重复使用此 Git 检出来提取 pkg2 中的代码。如果 Subversion 存储库的 Git 检出在 .git/hooks/ 中有恶意命令，则这些命令将会在运行 'go get' 的系统上执行。(CVE-2017-15041) smtp.PlainAuth 容易受中间人密码收集影响。在 Go 1.8.4 之前版本和 1.9.1 之前的 1.9.x 版本中，存在一个意外的明文问题。RFC 4954 要求在 SMTP 期间，PLAIN auth 方案必须仅用于使用 TLS 保护的网络连接。Go 1.0 中的原始 smtp.PlainAuth 实现会强制执行此请求，并且对此已进行了纪录。在 2013 年的上游问题 #5184 中，此状况已发生改变，服务器可决定是否接受 PLAIN。结果是，如果您设定的中间人 SMTP 服务器未宣传 STARTTLS 而是宣传 PLAIN auth 没有问题，则 smtp.PlainAuth 实现会发送用户名和密码。(CVE-2017-15042) 通过 C 编译器选项进行 'go get' 期间发生任意代码执行。在创建期间，Go 的 'go get' 命令处理 gcc 和 clang 敏感选项的方式中发现一个任意命令执行缺陷。能够主控恶意存储库的远程攻击者可能会利用此缺陷，在客户端造成任意命令执行。(CVE-2018-6574)

运行版本 CORE 5.04 / MAIN 5.04 的远程 NewStart CGSL 主机安装有受多个漏洞影响的 golang 程序包：- Go 的 go get 命令处理源代码存储库检出的方式中发现任意命令执行缺陷。能够主控恶意存储库的远程攻击者可能会利用此缺陷，在客户端造成任意命令执行。(CVE-2017-15041) - 据发现，Go 中的 smtp.PlainAuth 验证方案未正确验证 TLS 要求。远程中间人攻击者可能利用此缺陷找到 Go 应用程序发送的 SMTP 凭证。(CVE-2017-15042) - 在构建期间，Go 的 go get 命令处理 gcc 和 clang 敏感选项的方式中发现一个任意命令执行缺陷。能够主控恶意存储库的远程攻击者可能会利用此缺陷，在客户端造成任意命令执行。(CVE-2018-6574) 请注意，Nessus 并未针对此问题进行测试，而仅依赖应用程序自我报告的版本号。

golang 的更新现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。golang 程序包提供 Go 编程语言编译器。下列程序包已升级到更新的上游版本： golang (1.9.4)。(BZ#1479095, BZ#1499827) 安全修复：* golang：'go get' 或 'go get -d' 中存在任意代码执行 (CVE-2017-15041) * golang：smtp.PlainAuth 易遭中间人网络钓鱼 (CVE-2017-15042) * golang：通过 C 编译器选项的 ‘go get’ 中存在任意代码执行 (CVE-2018-6574) 有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。其他更改：如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.5 版本说明。

下列程序包已升级到更新的上游版本： golang (1.9.4)。安全修复：- golang：“go get”或“go get -d”中存在任意代码执行 (CVE-2017-15041) - golang：smtp.PlainAuth 易遭中间人网络钓鱼 (CVE-2017-15042) - golang：“go get”期间通过 C 编译器选项执行任意代码 (CVE-2018-6574) 其他变更：

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2018:1304 公告中提及的漏洞的影响。

  - golang：通过 C 编译器选项进行“go get”期间发生任意代码执行 (CVE-2018-6574)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

P-521 和 P-384 椭圆曲线实现中发现漏洞，可能会造成拒绝服务，以及在某些情况下会造成密钥恢复。此外，此更新还修复了“go get”中的两个漏洞，这些漏洞可能会造成任意 shell 命令执行。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
107201	GLSA-201803-03：Go：受用户协助的任意代码执行	Nessus	Gentoo Local Security Checks	2018/3/8	2019/3/4	high
109376	CentOS 7：golang (CESA-2018:0878)	Nessus	CentOS Local Security Checks	2018/4/27	2024/10/22	critical
108600	Amazon Linux AMI : golang (ALAS-2018-975)	Nessus	Amazon Linux Local Security Checks	2018/3/27	2024/12/6	high
109690	Amazon Linux 2：golang (ALAS-2018-1011)	Nessus	Amazon Linux Local Security Checks	2018/5/11	2024/10/9	critical
127229	NewStart CGSL CORE 5.04 / MAIN 5.04：golang 多个漏洞 (NS-SA-2019-0047)	Nessus	NewStart CGSL Local Security Checks	2019/8/12	2024/5/8	critical
108990	RHEL 7 : golang (RHSA-2018:0878)	Nessus	Red Hat Local Security Checks	2018/4/11	2025/3/20	critical
109448	Scientific Linux 安全更新：SL7.x 中的 golang (noarch)	Nessus	Scientific Linux Local Security Checks	2018/5/1	2024/10/16	critical
109569	RHEL 7：go-toolset-7 和 go-toolset-7-golang (RHSA-2018:1304)	Nessus	Red Hat Local Security Checks	2018/5/4	2025/4/15	high
121558	Debian DSA-4380-1：golang-1.8 - 安全更新	Nessus	Debian Local Security Checks	2019/2/4	2024/6/24	high

检测

插件搜索

high

critical

high

critical

critical

critical

critical

high

high