ROS-20251029-07

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с неконтролируемым потреблением ресурсов при разборе специально сформированных email-адресов с очень большими domain-literal частями функция mail.ParseAddress. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с сложностью при проверке name constraints. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с отсутствием должной фильтрации/экранирования файлами журнала. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, внедрять или манипулировать логами

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с реализацией парсинга PEM в пакете encoding/pem — из-за дизайна функции парсинга некоторые некорректные/специально сформированные входы обрабатываются с квадратичной (non-linear) сложностью по времени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с недостаточной проверкой/валидацией вводимых значений хоста. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти меры безопасности системы

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с реализацией парсинга ASN.1/DER в пакете encoding/asn1, где код предварительно выделяет память (pre-allocate) на основе полей в DER-структуре до того, как полностью проверит корректность/содержимое этих полей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с тем, что отсутствует жёсткий лимит на количество cookie-заголовков, которые можно обработать, несмотря на то, что общий лимит для HTTP-заголовков установлен (1 МБ). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с тем, что код делает приведение интерфейса (interface cast) с ожиданием, что DSA‑публичный ключ реализует метод Equal. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с тем, что в tar.Reader не установлен лимит на число блоков sparse‑областей при разборе GNU sparse map данных. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Идентификатор БДУ ФСТЭК России:

Отсутствует

Описание уязвимости:

Уязвимость языка программирования Golang связана с реализацией функции, где строка накапливается через повторную конкатенацию без эффективного управления памятью или временной сложностью. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании