Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04161

Опубликовано: 19 мая 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость расширения Cgo языка программирования Go связана с неверным управлением генерацией кода при обработке аргументов флагов компановщика из директивы CgoLDFLAGS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Red Hat Inc.
ООО «Ред Софт»
Fedora Project
The Go Project

Наименование ПО

Red Hat Enterprise Linux
Red Hat Ceph Storage
Red Hat Storage
РЕД ОС
Fedora
Go
Red Hat Developer Tools

Версия ПО

8 (Red Hat Enterprise Linux)
3 (Red Hat Ceph Storage)
3 (Red Hat Storage)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
38 (Fedora)
до 1.19.10 (Go)
от 1.20.0 до 1.20.5 (Go)
- (Red Hat Developer Tools)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 38

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://github.com/golang/go/issues/60511
https://github.com/golang/go/issues/60305
https://github.com/golang/go/issues/60512
https://go.dev/cl/501225
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29404
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00061
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20231109-01

CVSS3: 9.8
redos
больше 1 года назад

Множественные уязвимости golang

ubuntu логотип

CVE-2023-29404

CVSS3: 9.8
ubuntu
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. The arguments for a number of flags which are non-optional are incorrectly considered optional, allowing disallowed flags to be smuggled through the LDFLAGS sanitization. This affects usage of both the gc and gccgo compilers.

redhat логотип

CVE-2023-29404

CVSS3: 7.5
redhat
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. The arguments for a number of flags which are non-optional are incorrectly considered optional, allowing disallowed flags to be smuggled through the LDFLAGS sanitization. This affects usage of both the gc and gccgo compilers.

nvd логотип

CVE-2023-29404

CVSS3: 9.8
nvd
около 2 лет назад

The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. The arguments for a number of flags which are non-optional are incorrectly considered optional, allowing disallowed flags to be smuggled through the LDFLAGS sanitization. This affects usage of both the gc and gccgo compilers.

msrc логотип

CVE-2023-29404

CVSS3: 9.8
msrc
около 2 лет назад

Описание отсутствует

EPSS

Процентиль: 20%
0.00061
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2