CVE-2020-7919

Опубликовано: 16 мар. 2020

Источник: debian

EPSS Низкий

Описание

Go before 1.12.16 and 1.13.x before 1.13.7 (and the crypto/cryptobyte package before 0.0.0-20200124225646-8b5121be2f68 for Go) allows attacks on clients (resulting in a panic) via a malformed X.509 certificate.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
golang-1.14	fixed	1.14~rc1-1		package
golang-1.13	fixed	1.13.7-1		package
golang-1.11	removed			package
golang-1.8	removed			package
golang-1.8	not-affected		stretch	package
golang-1.7	removed			package
golang-1.7	not-affected		stretch	package
golang	removed			package

Примечания

https://github.com/golang/go/issues/36837
https://github.com/golang/go/commit/b13ce14c4a6aa59b7b041ad2b6eed2d23e15b574 (master)
https://github.com/golang/go/issues/36838 (Go 1.13)
https://github.com/golang/go/commit/f938e06d0623d0e1de202575d16f1e126741f6e0 (go1.13.7)

EPSS

Процентиль: 74%

0.0085

Низкий

Связанные уязвимости

CVE-2020-7919

CVSS3: 7.5

ubuntu

почти 6 лет назад

CVE-2020-7919

CVSS3: 7.5

redhat

около 6 лет назад

CVE-2020-7919

CVSS3: 7.5

nvd

почти 6 лет назад

GHSA-cjjc-xp8v-855w

CVSS3: 7.5

github

больше 4 лет назад

Helm uses crypto package vulnerable to panic from malformed X.509 certificate

BDU:2021-01915

CVSS3: 7.5

fstec

около 6 лет назад

Уязвимость библиотек crypto/x509 и golang.org/x/crypto/cryptobyte языка программирования GO, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 74%

0.0085

Низкий