ГлавнаяБаза уязвимостей БДУ → BDU:2020-01887
9.3высокая

BDU:2020-01887 (CVE-2018-16873)

Уязвимость реализации команды «go get» языка программирования Go, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-04-29
Описание

Уязвимость реализации команды «go get» языка программирования Go связана с недостаточной проверкой входных данных (недостаточная проверка пути импорта при использовании флага «-u»). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного вредоносного пакета

Затрагиваемое ПО и версии
OpenSUSE Leap (42.3)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Go (до 1.10.6)Go (от 1.11.0 до 1.11.3)
Способ устранения

Использование рекомендаций:
Для Go:
https://groups.google.com/forum/?pli=1#!topic/golang-announce/Kw31K8G7Fi0

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00044.html
http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00060.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00011.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00015.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00010.html

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00044.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-05/msg00060.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-06/msg00011.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-06/msg00015.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-07/msg00010.htmlhttp://www.securityfocus.com/bid/106226https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16873https://groups.google.com/forum/?pli=1#!topic/golang-announce/Kw31K8G7Fi0
Проверьте безопасность своего сайта и почты → Полная проверка домена