ГлавнаяБаза уязвимостей БДУ → BDU:2020-01888
9.3высокая

BDU:2020-01888 (CVE-2018-16874)

Уязвимость реализации команды «go get» языка программирования Go, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-04-29
Описание

Уязвимость реализации команды «go get» языка программирования Go связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного вредоносного пакета

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)OpenSUSE Leap (42.3)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Red Hat Ceph Storage (3)Go (до 1.10.6)Go (от 1.11.0 до 1.11.3)Red Hat Ceph Storage (2)Red Hat Storage (3)
Способ устранения

Использование рекомендаций:
Для Go:
https://groups.google.com/forum/?pli=1#!topic/golang-announce/Kw31K8G7Fi0

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-16874/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-16874

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00044.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-05/msg00060.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-06/msg00011.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-06/msg00015.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-07/msg00010.htmlhttp://www.securityfocus.com/bid/106228https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16874https://groups.google.com/forum/?pli=1#!topic/golang-announce/Kw31K8G7Fi0
Проверьте безопасность своего сайта и почты → Полная проверка домена