Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07025

Опубликовано: 05 сент. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции Decoder.Decode языка программирования Go связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
The Go Project
АО «СберТех»
ООО «НЦПР»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Go
Platform V SberLinux OS Server
МСВСфера

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 1.22.7 (Go)
от 1.23.0 до 1.23.1 (Go)
9.1 (Platform V SberLinux OS Server)
9.5 (МСВСфера)
9.1.1-fstec (Platform V SberLinux OS Server)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО «СберТех» Platform V SberLinux OS Server 9.1
ООО «НЦПР» МСВСфера 9.5
АО «СберТех» Platform V SberLinux OS Server 9.1.1-fstec

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Go:
https://pkg.go.dev/vuln/GO-2024-3106
https://go-review.googlesource.com/c/go/+/611239
https://go.dev/doc/devel/release#go1.23.1
https://go.dev/dl/
https://github.com/golang/go/commit/fa8ff1a46deb6c816304441ec6740ec112e19012
https://github.com/golang/go/commit/2092294f2b097c5828f4eace6c98a322c1510b01
https://github.com/golang/go/releases/tag/go1.23.1
https://github.com/golang/go/releases/tag/go1.22.7
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-34156
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:11216?lang=ru

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 54%
0.00306
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20241001-10

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости golang

ubuntu логотип

CVE-2024-34156

CVSS3: 7.5
ubuntu
больше 1 года назад

Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.

redhat логотип

CVE-2024-34156

CVSS3: 7.5
redhat
больше 1 года назад

Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.

nvd логотип

CVE-2024-34156

CVSS3: 7.5
nvd
больше 1 года назад

Calling Decoder.Decode on a message which contains deeply nested structures can cause a panic due to stack exhaustion. This is a follow-up to CVE-2022-30635.

msrc логотип

CVE-2024-34156

msrc
7 месяцев назад

Stack exhaustion in Decoder.Decode in encoding/gob

EPSS

Процентиль: 54%
0.00306
Низкий

7.5 High

CVSS3

7.8 High

CVSS2