Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02371

Опубликовано: 20 мар. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость языка программирования Golang связана с ошибками освобождения памяти в коде шифрования/дешифрования RSA. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданных данных

Вендор

Red Hat Inc.
The Go Project

Наименование ПО

Red Hat Enterprise Linux
OpenShift Developer Tools and Services
Red Hat Developer Tools
OpenShift Pipelines
Network-bound Disk Encryption (NBDE) Tang Server
Go

Версия ПО

8 (Red Hat Enterprise Linux)
9 (Red Hat Enterprise Linux)
- (OpenShift Developer Tools and Services)
- (Red Hat Developer Tools)
- (OpenShift Pipelines)
- (Network-bound Disk Encryption (NBDE) Tang Server)
от 1.4.0-1 до 1.22.1-1 (Go)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
Программное средство защиты

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Golang:
https://github.com/advisories/GHSA-78hx-gp6g-7mj6
https://github.com/golang-fips/openssl/security/advisories/GHSA-78hx-gp6g-7mj6
https://github.com/microsoft/go-crypto-openssl/releases/tag/v0.2.9
https://github.com/golang-fips/openssl/releases/tag/v2.0.1
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-1394

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00921
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-1394

CVSS3: 7.5
redhat
больше 1 года назад

A memory leak flaw was found in Golang in the RSA encrypting/decrypting code, which might lead to a resource exhaustion vulnerability using attacker-controlled inputs​. The memory leak happens in github.com/golang-fips/openssl/openssl/rsa.go#L113. The objects leaked are pkey​ and ctx​. That function uses named return parameters to free pkey​ and ctx​ if there is an error initializing the context or setting the different properties. All return statements related to error cases follow the "return nil, nil, fail(...)" pattern, meaning that pkey​ and ctx​ will be nil inside the deferred function that should free them.

nvd логотип

CVE-2024-1394

CVSS3: 7.5
nvd
около 1 года назад

A memory leak flaw was found in Golang in the RSA encrypting/decrypting code, which might lead to a resource exhaustion vulnerability using attacker-controlled inputs​. The memory leak happens in github.com/golang-fips/openssl/openssl/rsa.go#L113. The objects leaked are pkey​ and ctx​. That function uses named return parameters to free pkey​ and ctx​ if there is an error initializing the context or setting the different properties. All return statements related to error cases follow the "return nil, nil, fail(...)" pattern, meaning that pkey​ and ctx​ will be nil inside the deferred function that should free them.

rocky логотип

RLSA-2024:4502

rocky
11 месяцев назад

Important: skopeo security update

rocky логотип

RLSA-2024:2569

rocky
около 1 года назад

Important: grafana-pcp security update

rocky логотип

RLSA-2024:1646

rocky
около 1 года назад

Important: grafana security and bug fix update

EPSS

Процентиль: 75%
0.00921
Низкий

7.5 High

CVSS3

7.8 High

CVSS2