Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Go (CVE-2018-16875)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
14/12/2018
Última modificación:
07/11/2023

Descripción

El paquete crypto/x509 de Go, en versiones anteriores a la 1.10.6 y versiones 1.11.x anteriores a la 1.11.3,no limita la cantidad de trabajo realizado para cada verificación de cadenas, lo que podría permitir que los atacantes manipulen entradas patológicas que conducen a la denegación de servicio (DoS) de la CPU. Los servidores TLS de Go que aceptan certificados de clientes y clientes TLS se han visto afectados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* 1.10.6 (excluyendo)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* 1.11.0 (incluyendo) 1.11.3 (excluyendo)
cpe:2.3:o:opensuse:leap:42.3:*:*:*:*:*:*:*