Golang 安全漏洞

CVE编号

CVE-2021-29923

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2021-09-08

漏洞描述

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。 golang存在安全漏洞，该漏洞允许攻击者可利用该漏洞绕过基于IP地址的访问控制，因为有意外的八进制解释。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/golang/go/issues/43389

参考链接
https://defcon.org/html/defcon-29/dc-29-speakers.html#kaoudis
https://github.com/golang/go/issues/30999
https://github.com/golang/go/issues/43389
https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-016.md
https://go-review.googlesource.com/c/go/+/325829/
https://golang.org/pkg/net/#ParseCIDR
https://lists.fedoraproject.org/archives/list/[email protected]...
https://vigilance.fr/vulnerability/Go-ingress-filtrering-bypass-via-IP-Addres...
https://www.oracle.com/security-alerts/cpujan2022.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.17
	运行在以下环境
	系统	alpine_3.15	go	*		Up to (excluding) 1.17-r0
	运行在以下环境
	系统	alpine_edge	go	*		Up to (excluding) 1.17-r0
	运行在以下环境
	系统	centos_8	go	*		Up to (excluding) 1.15.14-2.module+el8.4.0+12542+e3fec473
	运行在以下环境
	系统	debian_10	go	*		Up to (excluding) 1.11.6-1+deb10u4
	运行在以下环境
	系统	debian_11	go	*		Up to (excluding) 1.15.15-1~deb11u4
	运行在以下环境
	系统	debian_12	go	*		Up to (excluding) 1.15.15-5
	运行在以下环境
	系统	debian_9	go	*		Up to (excluding) 1.7.4-2+deb9u1
	运行在以下环境
	系统	debian_sid	go	*		Up to (excluding) 1.15.15-5
	运行在以下环境
	系统	fedora_36	go	*		Up to (excluding) 1.18~rc1-2.fc36
	运行在以下环境
	系统	oracle_8	go	*		Up to (excluding) 1.15.14-2.module+el8.4.0+20307+d24cc4c6
	运行在以下环境
	系统	redhat_8	go	*		Up to (excluding) 1.15.14-2.module+el8.4.0+12542+e3fec473
查看完整数据

阿里云评分 6.4

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 POC 已公开
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 NVD-CWE-noinfo