Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04160

Опубликовано: 19 мая 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость расширения Cgo языка программирования Go связана с внедрением или модификацией аргументов флагов компановщика из директивы CgoLDFLAGS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
ООО «Ред Софт»
Fedora Project
The Go Project

Наименование ПО

Red Hat Enterprise Linux
Red Hat Ceph Storage
Red Hat Storage
РЕД ОС
Fedora
Go
Red Hat Developer Tools

Версия ПО

8 (Red Hat Enterprise Linux)
3 (Red Hat Ceph Storage)
3 (Red Hat Storage)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
38 (Fedora)
до 1.19.10 (Go)
от 1.20.0 до 1.20.5 (Go)
- (Red Hat Developer Tools)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 38

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://go.dev/cl/501224
https://go.dev/issue/60306
https://github.com/golang/go/issues/60513
https://github.com/golang/go/issues/60514
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29405
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00326
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20231109-01

CVSS3: 9.8
redos
больше 1 года назад

Множественные уязвимости golang

ubuntu логотип

CVE-2023-29405

CVSS3: 9.8
ubuntu
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. Flags containing embedded spaces are mishandled, allowing disallowed flags to be smuggled through the LDFLAGS sanitization by including them in the argument of another flag. This only affects usage of the gccgo compiler.

redhat логотип

CVE-2023-29405

CVSS3: 7.5
redhat
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. Flags containing embedded spaces are mishandled, allowing disallowed flags to be smuggled through the LDFLAGS sanitization by including them in the argument of another flag. This only affects usage of the gccgo compiler.

nvd логотип

CVE-2023-29405

CVSS3: 9.8
nvd
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. Flags containing embedded spaces are mishandled, allowing disallowed flags to be smuggled through the LDFLAGS sanitization by including them in the argument of another flag. This only affects usage of the gccgo compiler.

debian логотип

CVE-2023-29405

CVSS3: 9.8
debian
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo ...

EPSS

Процентиль: 55%
0.00326
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2