您现在的位置:kastop>> Kas信息 Kaspa网络>>正文内容

CVE-2024-24787 (CVSS 9.8):Go 漏洞可能导致代码执行

Go 编程语言以其在软件开发的简单性和效率而闻名,最近发布了一项重要的安全公告,解决了两个严重的漏洞。这些在 Go 环境中发现的缺陷可能允许任意代码执行 (CVE-2024-24787),并在 DNS 操作中导致无限循环 (CVE-2024-24788)。


CVE-2024-24787 (CVSS 9.8):在 Darwin 上构建期间执行任意代码

漏洞特定于 Darwin 操作系统,其中包含 CGO 的 Go 模块的构建过程可能会无意中允许任意代码执行。该缺陷源于在使用 Apple 版本的链接器 () 时误用了指令中的标志。传统上,darwin 链接器允许使用此标志设置 LTO 库,这种方法以前未经 Go 的“安全链接器标志”验证检查,因为它与用于链接库的良性标志相似。利用此漏洞的攻击者可以加载恶意 LTO 库,从而导致在构建过程中使用该命令执行任意代码。-lto_library#cgo LDFLAGSld-lxgo build

CVE-2024-24788 (CVSS 7.5):格式错误的 DNS 消息导致无限循环

该缺陷存在于 Go 的 DNS 查找功能中,其核心是格式错误的 DNS 响应可能导致依赖 Go 代码的应用程序或服务器崩溃。构建的响应可能会触发无限循环,从而可能导致拒绝服务 (DoS) 方案。

服务崩溃或冻结应用程序可能会拒绝对资源的访问,这是一个重大威胁,特别是对于正常运行时间至关重要的面向 Web 的应用程序。

立即更新到 Go 1.22.3 或 1.21.10

所有使用 Go on Darwin 系统的开发人员或使用 Go 的 DNS 查找功能的项目都必须优先更新到 1.22.3 或 1.21.10 版本。这些修补版本包含用于关闭上述攻击媒介的修复程序。


解析:


这不会影响kaspa节点。这个矢量只能在构建/编译过程中发生(并且只能在MacOS上发生),根据我所收集的信息,系统已经受到了威胁。


第一个是构建步骤。但是有两个漏洞。一个是关于格式错误的DNS响应影响“stdlib”,这会导致DoS。更详细的CVE-2024-24788。它目前仅依赖于DNS响应。从理论上讲,如果DNS提供商是可以的,那也是可以的。但也可能存在未被发现的变体。我不知道stdlib是什么,但如果kas节点在面向网络的部分使用stdlib,可能会有风险。


而不是在构建过程中。就像Theo CVE一样,据我所知,它可以破坏构建过程,而不是其他。

stdlib是一个提供基本I/O和其他功能的库。


感动 同情 无聊 愤怒 搞笑 难过 高兴 路过
【字体: 】【收藏】【打印文章】 【 打赏 】 【查看评论

相关文章

    没有相关内容