Google Go安全限制绕过漏洞

CVE编号

CVE-2020-14039

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-07-18

漏洞描述

Google Go是美国谷歌（Google）公司的一款静态强类型、编译型、并发型，并具有垃圾回收功能的编程语言。<br /> Google Go 1.13.13之前版本和1.14.5之前的1.14.x版本存在安全限制绕过漏洞。该漏洞源于X.509证书验证期间未对VerifyOptions.KeyUsages EKU进行正确验证。攻击者可利用该漏洞访问系统。<br /> &nbsp;

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://golang.org/doc/devel/release.html#go1.14.minor

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00077.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00082.html
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00029.html
http://lists.opensuse.org/opensuse-security-announce/2020-09/msg00030.html
https://groups.google.com/forum/#!forum/golang-announce
https://groups.google.com/forum/#!topic/golang-announce/XZNfaiwgt2w
https://security.netapp.com/advisory/ntap-20200731-0005/
https://www.oracle.com/security-alerts/cpuApr2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.13.13
	运行在以下环境
	应用	golang	go	*	From (including) 1.14.0	Up to (excluding) 1.14.5
	运行在以下环境
	系统	opensuse_Leap_15.1	go1.14	*		Up to (excluding) 1.14.7-lp151.13.1
	运行在以下环境
	系统	opensuse_Leap_15.1	go1.14-doc	*		Up to (excluding) 1.14.7-lp151.13.1
	运行在以下环境
	系统	opensuse_Leap_15.1	go1.14-race	*		Up to (excluding) 1.14.7-lp151.13.1
	运行在以下环境
	系统	opensuse_Leap_15.2	go1.14	*		Up to (excluding) 1.14.7-lp152.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.2	go1.14-doc	*		Up to (excluding) 1.14.7-lp152.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.2	go1.14-race	*		Up to (excluding) 1.14.7-lp152.2.3.1
	运行在以下环境
	系统	unionos_20	golang-1.11	*		Up to (excluding) 0
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-295 证书验证不恰当