Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Go
(1.1, 1.10.6, 1.11, 1.11.3)
Описание
Уязвимость в команде "go get" в Go, при запуске с флагом -u и путем импорта вредоносного пакета Go или пакета, импортирующего его напрямую или косвенно, позволяет злоумышленникам, действующим удаленно, выполнить код. Уязвимость актуальна только для режима GOPATH. Используя специальные (custom) домены, можно настроить клонирование репозитория Git в папку ".git", используя путь импорта, заканчивающийся на "/.git". Если корневой каталог репозитория Git содержит файл "HEAD", файл "config", каталог "objects", каталог "refs" и имеет место подтверждение правильности порядка операций, "go get -u" может посчитать родительский каталог корневым каталогом репозитория и запустить для него команды Git. Данная операция будет использовать файл "config" из оригинального корневого каталога репозитория Git для настройки. Если файл конфигурации содержит вредоносные команды, то они будут выполнены в системе, запустившей "go get -u".
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://go.dev/
https://go.dev/
Ссылки
Источник: CVE
Наименование: CVE-2018-16873
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16873
Наименование: CVE-2018-16873
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16873
