Go Toolset 提供 Go 语言的工具与库,相关厂商已发布安全更新,修复了该开发工具中发现的若干漏洞。以下为漏洞要点与应对要点:
漏洞详情
1.CVE-2021-33195 CVSS 评分:7.5 严重程度:重要
在 Go 的 net 包中,LookUpCNAME、LookupSRV、LookupMX、LookupNS 和 LookupAddr 等函数以及 ResolveR 相关方法可能返回 DNS 检索结果中的任意值,存在被注入意外内容的风险,可能影响数据完整性。
2.CVE-2021-33197 CVSS 评分:7.5 严重程度:重要
在 Go 中,反向代理相关功能若第一个头部为 null 时,ReverseProxy 可能转发额外的请求头,攻击者可能借此丢弃任意头部,存在完整性风险。
3.CVE-2021-29923 CVSS 评分:7.3 严重程度:重要
在 golang 的实现中,未正确处理 IP 地址字节开头的前导零字符,可能让攻击者绕过基于 IP 的访问控制,影响数据的机密性、完整性与系统可用性。
受影响产品与版本
相关工具集(适用于不同系统环境) 1 x86_64
相关工具集(服务器版) 1 x86_64
相关工具集(系统体系结构为 s390x) 1 s390x
相关工具集(IBM Power 架构) 1 pPC64le
解决方案
相关工具集现可通过更新包获取,版本建议更新至 go-Toolset-1.15-golang。
关于如何应用此更新(包括公告中描述的变更)请参考后续发布信息与官方升级指南。
如需了解更多漏洞信息以及升级,请访问官方渠道获取最新说明。
