CVE-2024-24787 (CVSS 9.8):Go 漏洞可能导致代码执行
Go 编程语言以其在软件开发的简单性和效率而闻名,最近发布了一项重要的安全公告,解决了两个严重的漏洞。这些在 Go 环境中发现的缺陷可能允许任意代码执行 (CVE-2024-24787),并在 DNS 操作中导致无限循环 (CVE-2024-24788)。
CVE-2024-24787 (CVSS 9.8):在 Darwin 上构建期间执行任意代码
此漏洞特定于 Darwin 操作系统,其中包含 CGO 的 Go 模块的构建过程可能会无意中允许任意代码执行。该缺陷源于在使用 Apple 版本的链接器 () 时误用了指令中的标志。传统上,darwin 链接器允许使用此标志设置 LTO 库,这种方法以前未经 Go 的“安全链接器标志”验证检查,因为它与用于链接库的良性标志相似。利用此漏洞的攻击者可以加载恶意 LTO 库,从而导致在构建过程中使用该命令执行任意代码。-lto_library
#cgo LDFLAGS
ld
-lx
go build
CVE-2024-24788 (CVSS 7.5):格式错误的 DNS 消息导致无限循环
该缺陷存在于 Go 的 DNS 查找功能中,其核心是格式错误的 DNS 响应可能导致依赖 Go 代码的应用程序或服务器崩溃。构建的响应可能会触发无限循环,从而可能导致拒绝服务 (DoS) 方案。
服务崩溃或冻结应用程序可能会拒绝对资源的访问,这是一个重大威胁,特别是对于正常运行时间至关重要的面向 Web 的应用程序。
立即更新到 Go 1.22.3 或 1.21.10
所有使用 Go on Darwin 系统的开发人员或使用 Go 的 DNS 查找功能的项目都必须优先更新到 1.22.3 或 1.21.10 版本。这些修补版本包含用于关闭上述攻击媒介的修复程序。
解析:
这不会影响kaspa节点。这个矢量只能在构建/编译过程中发生(并且只能在MacOS上发生),根据我所收集的信息,系统已经受到了威胁。
第一个是构建步骤。但是有两个漏洞。一个是关于格式错误的DNS响应影响“stdlib”,这会导致DoS。更详细的CVE-2024-24788。它目前仅依赖于DNS响应。从理论上讲,如果DNS提供商是可以的,那也是可以的。但也可能存在未被发现的变体。我不知道stdlib是什么,但如果kas节点在面向网络的部分使用stdlib,可能会有风险。
而不是在构建过程中。就像Theo CVE一样,据我所知,它可以破坏构建过程,而不是其他。
stdlib是一个提供基本I/O和其他功能的库。
感动 | 同情 | 无聊 | 愤怒 | 搞笑 | 难过 | 高兴 | 路过 |
- 上一篇:TX's Maturity Event
- 下一篇:kaspad同步错误问题
相关文章
-
没有相关内容