远程 Redhat Enterprise Linux 8 主机上安装的一个程序包受到 RHSA-2022:0432 公告中提及的多个漏洞影响。

  - golang：net：错误地解析 IP 地址 octet 开头的无关零字符 (CVE-2021-29923)

  - golang：命令行参数可能覆盖全局数据 (CVE-2021-38297)

  - golang: archive/zip：格式错误的存档可能会导致错误或内存耗尽（针对 CVE-2021-33196 的修复不完整）(CVE-2021-39293)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2022:1819 中提及的多个漏洞的影响。

  - 在 Go 1.16.9 之前版本以及 Go 1.17.x 至 1.17.2 版本中使用 GOARCH=wasm GOOS=js 时，通过大型参数从 WASM 模块调用函数会产生缓冲区溢出问题。(CVE-2021-38297)

  - 在 Go 1.16.8 之前版本和 1.17.x 至 1.17.1 版本中，archive/zip 中的一个构建的 archive 标头（错误地指定存在许多文件）可能会造成 NewReader 或 OpenReader 错误。注意：存在此问题的原因是对 CVE-2021-33196 的修复不完整。(CVE-2021-39293)

  - 1.16.10 之前的 Go 版本和 1.17.3 之前的 Go 1.17.x 版本的 debug/macho（适用于 Open 或 OpenFat）中的 ImportedSymbols 会访问缓冲区末尾之后的内存位置，此情况也称为“越界切片”。
    (CVE-2021-41771)

  - Go 1.16.10 之前版本以及 Go 1.17.x 至 1.17.3 版本允许通过构建具有无效名称或空文件名字段的 ZIP 存档来造成 archive/zip Reader.Open 故障。(CVE-2021-41772)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 math/big 的 Rat.SetString 中存在溢出漏洞，该漏洞可能导致不受控制的内存消耗问题。(CVE-2022-23772)

  - Go 1.16.14 之前版本和 1.17.x 至 1.17.7 版本中的 cmd/go 可能会错误地将分支名称解读为版本标记。如果执行者能够创建分支但不能创建标签，则这可能导致错误控制访问权限。(CVE-2022-23773)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 crypto/elliptic 中的 Curve.IsOnCurve 在 big.Int 值不是有效字段元素的情况下，可能会错误地返回 true。(CVE-2022-23806)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 golang 版本低于 1.18.6-1.42。因此，它受到 ALAS-2022-1635 公告中提及的多个漏洞影响。

  - 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存储库 emicklei/go-restful 中，通过用户控制的密钥绕过授权。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

  - 0.0 之前的 golang.org/x/crypto/ssh 程序包。Go 的 0-20220314234659-1baeb1ce4c0b 允许攻击者在某些涉及 AddHostKey 的情况下使服务器崩溃。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中，encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

  - Go 在 1.17.10 之前的版本和在 1.18.2 之前的 1.18.x 版本中权限分配不正确。当使用非零标记参数调用时，Faccessat 函数可能错误地报告文件可访问。
    (CVE-2022-29526)

  - Go 1.17.11 和 Go 1.18.3 之前的版本中，crypto/tls 中会话票证中 ticket_age_add 的非随机值会让攻击者能够观察 TLS 握手，以在会话恢复期间通过比较票证使用时间来关联连续的连接。(CVE-2022-30629)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 golang 版本低于 1.18.3-1。因此，它受到 ALAS2-2022-1830 公告中提及的多个漏洞影响。

  - 适用于 Go 的 golang.org/x/crypto/ssh 组件 v0.0.0-20201203163018-be400aefbc4c 以及之前的所有版本中存在 nil 指针取消引用问题，允许远程攻击者针对 SSH 服务器发动拒绝服务攻击。(CVE-2020-29652)

  - 如果自定义 TokenReader（针对 xml.NewTokenDecoder）在元素中间返回 EOF，则低于 1.15.9 的 Go 和低于 1.16.1 的 1.16.x 中的 encoding/xml 会出现无限循环。此问题会发生在 Decode、DecodeElement 或 Skip 方法中。(CVE-2021-27918)

  - 在 Go 1.16.x 的 1.16.1 之前版本中，archive/zip 允许攻击者在对任何文件名开头出现 ../ 的 ZIP 存档尝试使用 Reader.Open API 时造成程序拒绝服务（发生错误）。(CVE-2021-27919)

  - 在低于 1.15.13 的 Go 版本以及低于 1.16.5 的 1.16.x 版本中，用于 DNS 查找的函数未验证来自 DNS 服务器的回复，因此返回值可能包含不符合 RFC1035 格式的不安全注入（例如 XSS）。(CVE-2021-33195)

  - 在 Go 语言 1.15.13 版本前以及 1.16.5 之前的 1.16.x 版本中，反向代理的部分配置（来自 net/http/httputil）导致攻击者能够终止任意标头。
    (CVE-2021-33197)

  - 在 Go 语言 1.15.13 版本前以及 1.16.5 之前的 1.16.x 版本中，大指数 math/big.Rat SetString 或 UnmarshalText 方法可能会出现错误。 (CVE-2021-33198)

  - 在低于 1.15.15 的 Go 版本和低于 1.16.7 的 1.16.x 版本中存在争用条件，可在 ErrAbortHandler 中止时导致 net/http/httputil ReverseProxy 错误。(CVE-2021-36221)

  - 在 Go 1.16.9 之前版本以及 Go 1.17.x 至 1.17.2 版本中使用 GOARCH=wasm GOOS=js 时，通过大型参数从 WASM 模块调用函数会产生缓冲区溢出问题。(CVE-2021-38297)

  - 在 Go 1.16.8 之前版本和 1.17.x 至 1.17.1 版本中，archive/zip 中的一个构建的 archive 标头（错误地指定存在许多文件）可能会造成 NewReader 或 OpenReader 错误。注意：此问题是因对 CVE-2021-33196 的修复不完整所致。(CVE-2021-39293)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 math/big 的 Rat.SetString 中存在溢出漏洞，该漏洞可能导致不受控制的内存消耗问题。(CVE-2022-23772)

  - Go 1.16.14 之前版本和 1.17.x 至 1.17.7 版本中的 cmd/go 可能会错误地将分支名称解读为版本标记。如果执行者能够创建分支但不能创建标签，则这可能导致错误控制访问权限。(CVE-2022-23773)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 crypto/elliptic 中的 Curve.IsOnCurve 在 big.Int 值不是有效字段元素的情况下，可能会错误地返回 true。(CVE-2022-23806)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

  - Go 1.16.15 之前版本以及 Go 1.17.x 至 1.17.8 版本中的 regexp.Compile 允许通过深度嵌套的表达式耗尽堆栈。(CVE-2022-24921)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2022: 1819 公告。

  - golang：命令行参数可能覆盖全局数据 (CVE-2021-38297)

  - golang：archive/zip: 格式错误的存档可能会导致错误或内存耗尽（针对 CVE-2021-33196 的不完整修复）(CVE-2021-39293)

  - golang：debug/macho：无效的动态符号表命令可造成错误 (CVE-2021-41771)

  - golang：archive/zip: 针对空字符串的 Reader.Open 错误 (CVE-2021-41772)

  - golang：math/big：由于系统未处理通过 Rat.SetString 的溢出导致的不受控制的内存消耗 (CVE-2022-23772)

  - golang：cmd/go：分支名称的错误解释可导致访问控制出错 (CVE-2022-23773)

  - golang：crypto/elliptic：IsOnCurve 对无效字段元素返回 true (CVE-2022-23806)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 golang 版本低于 1.16.15-1。因此，该软件受到 ALAS2-2022-1811 公告中提及的多个漏洞影响。

    在 golang 中发现无限循环漏洞。如果应用程序定义了使用“xml.NewTokenDecoder”初始化的自定义标记解析器，则解析循环可能永远不会返回。攻击者可能会在 XML 元素中构建恶意 XML 文档，从而造成“EOF”错误，从而造成解析应用程序进入死循环，从而导致拒绝服务 (DoS)。 (CVE-2021-27918)

    在 1.16.11.16.x 之前的 Go [] 中，archive/zip 允许攻击者在尝试使用 Reader.Open API 用于 ZIP 存档（所有文件名开头都出现 ../）时造成拒绝服务（错误）。 (CVE-2021-27919)

    在 Go 中发现一个缺陷。net 程序包中的 LookupCNAME、LookupSRV、LookupMX、LookupNS 和 LookupAddr 函数以及解析器类型上的方法可能返回从 DNS 检索的任意值，从而允许注入非预期内容。此漏洞造成的最高威胁是完整性。
    (CVE-2021-33195)

    Go 中发现缺陷，充当非预期代理或中介，其中如果连接标头为空，ReverseProxy 会 转发 。此缺陷允许攻击者丢弃任意标头。此漏洞最主要的威胁对象是数据完整性。(CVE-2021-33197)

    在 Go 中发现一个缺陷，其试图分配过量内存。如果传递具有极大指数的输入，此问题可能导致内核错误或无法恢复的致命错误。此漏洞最大的威胁在于系统可用性。(CVE-2021-33198)

    在 Go 中发现一个争用条件缺陷。处理程序错误后未关闭传入的请求正文，因此这可导致 ReverseProxy 崩溃。此漏洞造成的最高威胁是对 Availability 的威胁。 (CVE-2021-36221)

    在 golang 中发现验证缺陷。从使用 GOARCH=wasm GOOS=js 构建的 WASM 模块调用函数时，传递大参数可导致部分模块被参数中的数据覆盖。此漏洞最主要的威胁对象是数据完整性。(CVE-2021-38297)

    在 Go 标准库的 archive/zip 中发现漏洞。当解析畸形 ZIP 文件时，Go 编写的应用程序可能发生错误或可能耗尽系统内存。如果攻击者能够提交特制的 ZIP 文件至使用 archive/zip 处理该文件的 Go 应用程序，便可通过内存耗尽或错误造成拒绝服务。此特殊缺陷是对先前缺陷的不完整修复。
    (CVE-2021-39293)

    在 Go 标准库的 debug/macho 中发现越界读取漏洞。当使用 debug/macho 标准库 (stdlib) 并且使用 Open 或 OpenFat 解析畸形二进制文件时，可能会造成 golang 尝试在片标（数组）之外读取，从而在调用 ImportedSymbols 时造成错误。
    攻击者可利用此漏洞构建文件，导致使用此库的应用程序崩溃，从而导致拒绝服务。 (CVE-2021-41771)

    在 Go 标准库的 archive/zip 中发现漏洞。在解析包含完全无效名称或空文件名参数的构建 ZIP 存档时，以 Reader.Open（实现 Go 1.16 中引入的 io/fs.FS 的 API）的 Go 编写的应用程序可能发生错误。 (CVE-2021-41772)

    golang 的 net/http 库的 canonicalHeader() 函数中存在不受控制的资源消耗缺陷。向与 net/http 的 http2 功能链接的应用程序提交特别构建请求的攻击者可造成资源过度消耗，从而可能导致拒绝服务或以其他方式影响系统性能和资源。 (CVE-2021-44716)

    golang 的 syscall.ForkExec() 接口中存在缺陷。攻击者设法首先造成进程的文件描述符耗尽，然后导致重复调用 syscall.ForkExec()，可能会以某种不受控制的方式损害链接、使用 syscall.ForkExec() 的程序的数据完整性和/或机密性。 (CVE-2021-44717)

    在低于 1.16.14 的Go 和低于 1.17.7 的 1.17.x 中，math/big 的 Rat.SetString 存在一个溢出，可导致不受控制的内存消耗。 (CVE-2022-23772)

    在 1.16.14 之前的 Go 和在 1.17.x [] 之前的 1.17.7 中，Go 中的 cmd/go 可错误解释似乎是版本标签的分支名称。如果执行者能够创建分支但不能创建标签，则这可能导致错误控制访问权限。(CVE-2022-23773)

    在 1.16.14 之前的 Go 和 1.17.x 之前的 [ 1.17.7 中，crypto/elliptic 中的 Curve.IsOnCurve 可在 big.Int 值非有效字段元素的情况下错误返回 true。 (CVE-2022-23806)

    在 Golang 的 regexp 模块中发现堆栈溢出缺陷，如果使用 regexp 的应用程序从具有足够嵌套深度的不受信任来源接受极长或任意长的 regexp，则可造成 runtime 崩溃。要利用此漏洞，攻击者需要向应用程序发送含有深层嵌套的大型 regexp。触发此缺陷会导致运行时崩溃，从而造成拒绝服务。 (CVE-2022-24921)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的多个程序包受到 ELSA-2022-1819 公告中提及的多个漏洞影响。

  - 在 Go 1.16.8 之前版本和 1.17.x 至 1.17.1 版本中，archive/zip 中的一个构建的 archive 标头（错误地指定存在许多文件）可能会造成 NewReader 或 OpenReader 错误。注意：此问题是因对 CVE-2021-33196 的修复不完整所致。(CVE-2021-39293)

  - Go 1.16.10 之前版本以及 Go 1.17.x 至 1.17.3 版本允许通过构建具有无效名称或空文件名字段的 ZIP 存档来造成 archive/zip Reader.Open 故障。(CVE-2021-41772)

  - Go 1.16.14 之前版本和 1.17.x 至 1.17.7 版本中的 cmd/go 可能会错误地将分支名称解读为版本标记。如果执行者能够创建分支但不能创建标签，则这可能导致错误控制访问权限。(CVE-2022-23773)

  - 在 Go 1.16.9 之前版本以及 Go 1.17.x 至 1.17.2 版本中使用 GOARCH=wasm GOOS=js 时，通过大型参数从 WASM 模块调用函数会产生缓冲区溢出问题。(CVE-2021-38297)

  - 1.16.10 之前的 Go 版本和 1.17.3 之前的 Go 1.17.x 版本的 debug/macho（适用于 Open 或 OpenFat）中的 ImportedSymbols 会访问缓冲区末尾之后的内存位置，此情况也称为“越界切片”。
    (CVE-2021-41771)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 math/big 的 Rat.SetString 中存在溢出漏洞，该漏洞可能导致不受控制的内存消耗问题。(CVE-2022-23772)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 crypto/elliptic 中的 Curve.IsOnCurve 在 big.Int 值不是有效字段元素的情况下，可能会错误地返回 true。(CVE-2022-23806)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 Go 1.16.8 之前版本和 1.17.x 至 1.17.1 版本中，archive/zip 中的一个构建的 archive 标头（错误地指定存在许多文件）可能会造成 NewReader 或 OpenReader 错误。注意：存在此问题的原因是对 CVE-2021-33196 的修复不完整。(CVE-2021-39293)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Debian 9 主机上安装的多个程序包受到 dla-2891 公告中提及的多个漏洞影响。

  - Go 1.15.13 之前版本和 1.16.x 的 1.16.5 之前版本中，归档/zip 中特制的文件数（在归档的标头内）可能会造成 NewReader 或 OpenReader 错误。(CVE-2021-33196)

  - 在低于 1.15.15 的 Go 版本和低于 1.16.7 的 1.16.x 版本中存在争用条件，可在 ErrAbortHandler 中止时导致 net/http/httputil ReverseProxy 错误。(CVE-2021-36221)

  - 1.16.10 之前的 Go 版本和 1.17.3 之前的 Go 1.17.x 版本的 debug/macho（适用于 Open 或 OpenFat）中的 ImportedSymbols 会访问缓冲区末尾之后的内存位置，此情况也称为“越界切片”。
    (CVE-2021-41771)

  - 在 1.16.12 版之前的 Go 和 1.17.x 版之前的 Go 1.17.5 中，net/http 允许通过 HTTP/2 请求在标头规范化缓存中消耗不受控制的内存。(CVE-2021-44716)

  - 在 UNIX 上，1.16.12 之前的 Go 版本和 1.17.5 之前的 Go 1.17.x 版本允许对非预期文件或非预期网络连接执行写入操作，原因是在文件描述符耗尽后错误关闭文件描述符 0。(CVE-2021-44717)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Debian 9 主机上安装的多个程序包受到 dla-2892 公告中提及的多个漏洞影响。

  - Go 1.15.13 之前版本和 1.16.x 的 1.16.5 之前版本中，归档/zip 中特制的文件数（在归档的标头内）可能会造成 NewReader 或 OpenReader 错误。(CVE-2021-33196)

  - 在低于 1.15.15 的 Go 版本和低于 1.16.7 的 1.16.x 版本中存在争用条件，可在 ErrAbortHandler 中止时导致 net/http/httputil ReverseProxy 错误。(CVE-2021-36221)

  - 1.16.10 之前的 Go 版本和 1.17.3 之前的 Go 1.17.x 版本的 debug/macho（适用于 Open 或 OpenFat）中的 ImportedSymbols 会访问缓冲区末尾之后的内存位置，此情况也称为“越界切片”。
    (CVE-2021-41771)

  - 在 1.16.12 版之前的 Go 和 1.17.x 版之前的 Go 1.17.5 中，net/http 允许通过 HTTP/2 请求在标头规范化缓存中消耗不受控制的内存。(CVE-2021-44716)

  - 在 UNIX 上，1.16.12 之前的 Go 版本和 1.17.5 之前的 Go 1.17.x 版本允许对非预期文件或非预期网络连接执行写入操作，原因是在文件描述符耗尽后错误关闭文件描述符 0。(CVE-2021-44717)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 CentOS Linux 8 主机上安装的多个程序包受到 CESA-2022: 1819 公告。

  - golang：命令行参数可能覆盖全局数据 (CVE-2021-38297)

  - golang：archive/zip: 格式错误的存档可能会导致错误或内存耗尽（针对 CVE-2021-33196 的不完整修复）(CVE-2021-39293)

  - golang：debug/macho：无效的动态符号表命令可造成错误 (CVE-2021-41771)

  - golang：archive/zip: 针对空字符串的 Reader.Open 错误 (CVE-2021-41772)

  - golang：math/big：由于系统未处理通过 Rat.SetString 的溢出导致的不受控制的内存消耗 (CVE-2022-23772)

  - golang：cmd/go：分支名称的错误解释可导致访问控制出错 (CVE-2022-23773)

  - golang：crypto/elliptic IsOnCurve 对无效字段元素返回 true (CVE-2022-23806)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程 AlmaLinux 8 主机上存在安装的程序包该程序包受到 ALSA-2022:1819 公告中提及的多个漏洞的影响。

    * golang命令行参数可能覆盖全局数据 (CVE-2021-38297)

    * golang: archive/zip畸形存档可能导致错误或内存耗尽 CVE-2021-33196的修复不完整 (CVE-2021-39293)

    * golangdebug/macho无效的动态符号表命令可导致错误CVE-2021-41771

    * golangarchive/zip空字符串的 Reader.Open 错误 (CVE-2021-41772)

    - golang: math/big：由于系统未处理通过 Rat.SetString 的溢出导致的不受控制的内存消耗 (CVE-2022-23772)

    * golangcmd/go分支名称的错误解释可导致不正确的访问控制CVE-2022-23773

    * golangcrypto/elliptic IsOnCurve 会为无效的字段元素返回 true (CVE-2022-23806)

Tenable 已直接从 AlmaLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
194340	RHEL 8：Release of OpenShift Serverless Client kn 1.20.0 (RHSA-2022:0432)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
184743	Rocky Linux 8 go-toolset:rhel8 (RLSA-2022:1819)	Nessus	Rocky Linux Local Security Checks	2023/11/6	2023/11/14	critical
168435	Amazon Linux AMI：golang (ALAS-2022-1635)	Nessus	Amazon Linux Local Security Checks	2022/12/7	2024/12/11	critical
163918	Amazon Linux 2：golang (ALAS-2022-1830)	Nessus	Amazon Linux Local Security Checks	2022/8/8	2024/12/11	critical
161000	RHEL 8：go-toolset: rhel8 (RHSA-2022: 1819)	Nessus	Red Hat Local Security Checks	2022/5/11	2025/3/13	critical
163229	Amazon Linux 2 : golang (ALAS-2022-1811)	Nessus	Amazon Linux Local Security Checks	2022/7/15	2025/4/11	critical
161286	Oracle Linux 8：go-toolset: ol8 (ELSA-2022-1819)	Nessus	Oracle Linux Local Security Checks	2022/5/18	2024/11/2	critical
250976	Linux Distros 未修补的漏洞：CVE-2021-39293	Nessus	Misc.	2025/8/18	2025/8/18	high
156954	Debian DLA-2891-1：golang-1.8 - LTS 安全更新	Nessus	Debian Local Security Checks	2022/1/22	2025/1/24	medium
156955	Debian DLA-2892-1：golang-1.7 - LTS 安全更新	Nessus	Debian Local Security Checks	2022/1/22	2025/1/24	medium
160902	CentOS 8：go-toolset: rhel8 (CESA-2022: 1819)	Nessus	CentOS Local Security Checks	2022/5/10	2023/10/27	critical
161138	AlmaLinux 8 : go-toolset:rhel8 (ALSA-2022:1819)	Nessus	Alma Linux Local Security Checks	2022/5/12	2025/1/13	critical
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

high

medium

medium

critical

critical

critical