Vulnerabilidad en Go (CVE-2017-15041)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/10/2017
Última modificación:
20/04/2025
Descripción
Go, en sus versiones 1.8.4 y versiones 1.9.x anteriores a la 1.9.1, permite que se ejecuten comandos "go get" de manera remota. Mediante el uso de dominios personalizados, es posible organizar los elementos de forma que example.com/pkg1 apunte a un repositorio Subversion, pero example.com/pkg1/pkg2 apunta a un repositorio Git. Si el repositorio Subversion incluye una rama activada de Git en su directorio pkg2 y se realiza algún otro trabajo para asegurar que el orden de las operaciones es correcto, se puede engañar al comando "go get" para que vuelva a utilizar esta rama de Git para que recupere código de pkg2. Si la rama Git del repositorio Subversion contiene comandos maliciosos en .git/hooks/, se ejecutarán en el sistema que esté ejecutando "go get".
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.8.3 (incluyendo) | |
| cpe:2.3:a:golang:go:1.9:-:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:developer_tools:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:7.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_eus:7.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_tus:7.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_tus:7.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/101196
- https://access.redhat.com/errata/RHSA-2017:3463
- https://access.redhat.com/errata/RHSA-2018:0878
- https://github.com/golang/go/issues/22125
- https://golang.org/cl/68022
- https://golang.org/cl/68190
- https://groups.google.com/d/msg/golang-dev/RinSE3EiJBI/kYL7zb07AgAJ
- https://lists.debian.org/debian-lts-announce/2021/03/msg00014.html
- https://lists.debian.org/debian-lts-announce/2021/03/msg00015.html
- https://security.gentoo.org/glsa/201710-23
- http://www.securityfocus.com/bid/101196
- https://access.redhat.com/errata/RHSA-2017:3463
- https://access.redhat.com/errata/RHSA-2018:0878
- https://github.com/golang/go/issues/22125
- https://golang.org/cl/68022
- https://golang.org/cl/68190
- https://groups.google.com/d/msg/golang-dev/RinSE3EiJBI/kYL7zb07AgAJ
- https://lists.debian.org/debian-lts-announce/2021/03/msg00014.html
- https://lists.debian.org/debian-lts-announce/2021/03/msg00015.html
- https://security.gentoo.org/glsa/201710-23