Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03201

Опубликовано: 05 апр. 2023
Источник: fstec
CVSS3: 8.3
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость модуля Cgo языка программирования Go связана с неверным управлением генерацией кода при обработке имен каталогов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ООО «Ред Софт»
The Go Project
АО «НТЦ ИТ РОСА»

Наименование ПО

РЕД ОС
Go
ROSA Virtualization 3.0

Версия ПО

7.3 (РЕД ОС)
до 1.19.10 (Go)
от 1.20.0 до 1.20.5 (Go)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://go.dev/dl/
https://github.com/golang/go/commit/c0ed873cd8259f16d0da67eee783fda49f45ef61
https://github.com/golang/go/commit/c160b49b6d328c86bd76ca2fff9009a71347333f
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 32%
0.00124
Низкий

8.3 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20231109-01

CVSS3: 9.8
redos
почти 2 года назад

Множественные уязвимости golang

ubuntu логотип

CVE-2023-29402

CVSS3: 9.8
ubuntu
больше 2 лет назад

The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).

redhat логотип

CVE-2023-29402

CVSS3: 7
redhat
больше 2 лет назад

The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).

nvd логотип

CVE-2023-29402

CVSS3: 9.8
nvd
больше 2 лет назад

The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).

msrc логотип

CVE-2023-29402

CVSS3: 9.8
msrc
около 1 года назад

Описание отсутствует

EPSS

Процентиль: 32%
0.00124
Низкий

8.3 High

CVSS3

7.6 High

CVSS2