DFN-CERT-2017-1765 Google Go (golang): Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2017-1765 Google Go (golang): Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Google Go (golang) < 1.8.4 Google Go (golang) < 1.9.1 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Zwei Schwachstellen in Google Go (golang) ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Ausspähen von Informationen. Für Fedora 26 und 27 stehen die Pakete 'golang-1.8.4-1.fc26' und 'golang-1.9.1-1.fc27' als Sicherheitsupdates im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-6f1b90dbb7 (Fedora 26, golang-1.8.4-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-6f1b90dbb7

Patch:

Fedora Security Update FEDORA-2017-f4fc897e8f (Fedora 27, golang-1.9.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4fc897e8f

CVE-2017-15042: Schwachstelle in Google Go (golang) ermöglicht Ausspähen von
Informationen

In Go vor Version 1.8.4 und 1.9.x vor 1.9.1 existiert eine Schwachstelle
aufgrund der Übertragung von Benutzernamen und Passworten im Klartext unter
Verwendung der ‘PLAIN’-Authentifizierung bei SMTP ohne TLS-Absicherung,
obwohl dieses Verfahren laut RFC 4954 nur mit TLS-gesicherten Verbindungen
benutzt werden darf. Dieses Fehlverhalten wurde 2013 eingeführt und sollte
dem Server-System die Entscheidung überlassen, ob eine Klartextübertragung
akzeptabel ist. Allerdings kann auch ein Angreifer in privilegierter
Netzwerkposition als Mittelsmann (Man-in-the-Middle) einen SMTP-Server
einsetzen, um Klartext ohne TLS zu erlauben, und so Zugangsinformationen
abfischen. Ein entfernter, nicht authentisierter Angreifer kann
Informationen ausspähen.

CVE-2017-15041: Schwachstelle in Google Go (golang) ermöglicht Ausführen
beliebigen Programmcodes

In Go vor Version 1.8.4 und 1.9.x vor 1.9.1 existiert eine Schwachstelle, da
Subversion- und Git-Repositories so angelegt werden können, dass der Aufruf
von ‘go get’ schädliche Befehle in ‘.git/hooks/’ des Subversion-Repositories
zur Ausführung bringt. Ein entfernter, nicht authentisierter Angreifer kann
beliebigen Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1765/

Schwachstelle CVE-2017-15041 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15041

Schwachstelle CVE-2017-15042 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15042

Fedora Security Update FEDORA-2017-6f1b90dbb7 (Fedora 26, golang-1.8.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6f1b90dbb7

Fedora Security Update FEDORA-2017-f4fc897e8f (Fedora 27, golang-1.9.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4fc897e8f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben