Уязвимость некорректной обработки путей с префиксом ??\ в пакете filepath языка Go
Описание
Пакет filepath не распознавал пути с префиксом \??\ как специальные. В Windows путь, начинающийся с \??\, является Root Local Device путем, эквивалентным пути, начинающемуся с \\?\. Пути с префиксом \??\ могут использоваться для доступа к произвольным расположениям в системе. Например, путь \??\c:\x эквивалентен более распространенному пути c:\x. До исправления функция Clean могла преобразовать корневой путь, такой как \a\..\??\b, в Root Local Device путь \??\b. После исправления Clean преобразует его в .\??\b. Аналогично, функция Join(\, ??, b) могла преобразовать последовательность элементов пути в Root Local Device путь \??\b. После исправления она преобразует его в \.\??\b. Кроме того, после исправления функция IsAbs теперь правильно определяет пути, начинающиеся с \??\, как абсолютные, а VolumeName корректно сообщает префикс \??\ как имя тома.
ОБНОВЛЕНИЕ: В версиях Go 1.20.11 и Go 1.21.4 произошло непреднамеренное изменение определения имени тома в Windows-путях, начинающихся с \?, что привело к тому, что filepath.Clean(\?\c:) возвращает \?\c: вместо ожидаемого \?\c:.
Затронутые версии ПО
- Go версии до 1.20.11
- Go версии до 1.21.4
Тип уязвимости
- Некорректная обработка данных
- Потенциальный несанкционированный доступ
Ссылки
- Issue TrackingVendor Advisory
- Issue TrackingVendor Advisory
- Issue TrackingMailing ListVendor Advisory
- Issue TrackingVendor Advisory
- Issue TrackingVendor Advisory
- Issue TrackingVendor Advisory
- Issue TrackingMailing ListVendor Advisory
- Issue TrackingVendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
The filepath package does not recognize paths with a \??\ prefix as special. On Windows, a path beginning with \??\ is a Root Local Device path equivalent to a path beginning with \\?\. Paths with a \??\ prefix may be used to access arbitrary locations on the system. For example, the path \??\c:\x is equivalent to the more common path c:\x. Before fix, Clean could convert a rooted path such as \a\..\??\b into the root local device path \??\b. Clean will now convert this to .\??\b. Similarly, Join(\, ??, b) could convert a seemingly innocent sequence of path elements into the root local device path \??\b. Join will now convert this to \.\??\b. In addition, with fix, IsAbs now correctly reports paths beginning with \??\ as absolute, and VolumeName correctly reports the \??\ prefix as a volume name. UPDATE: Go 1.20.11 and Go 1.21.4 inadvertently changed the definition of the volume name in Windows paths starting with \?, resulting in filepath.Clean(\?\c:) returning \?\c: rather than \?...
The filepath package does not recognize paths with a \??\ prefix as sp ...
The filepath package does not recognize paths with a \??\ prefix as special. On Windows, a path beginning with \??\ is a Root Local Device path equivalent to a path beginning with \\?\. Paths with a \??\ prefix may be used to access arbitrary locations on the system. For example, the path \??\c:\x is equivalent to the more common path c:\x. Before fix, Clean could convert a rooted path such as \a\..\??\b into the root local device path \??\b. Clean will now convert this to .\??\b. Similarly, Join(\, ??, b) could convert a seemingly innocent sequence of path elements into the root local device path \??\b. Join will now convert this to \.\??\b. In addition, with fix, IsAbs now correctly reports paths beginning with \??\ as absolute, and VolumeName correctly reports the \??\ prefix as a volume name.
Уязвимость пакета filepath языка программирования Go, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
7.5 High
CVSS3