ГлавнаяБаза уязвимостей БДУ → BDU:2023-04160
10критическая

BDU:2023-04160 (CVE-2023-29405)

Уязвимость расширения Cgo языка программирования Go, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-07-27
Описание

Уязвимость расширения Cgo языка программирования Go связана с внедрением или модификацией аргументов флагов компановщика из директивы CgoLDFLAGS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Ceph Storage (3)Red Hat Storage (3)РЕД ОС (7.3)Red Hat Enterprise Linux (9)Fedora (38)Go (до 1.19.10)Go (от 1.20.0 до 1.20.5)Red Hat Developer ToolsROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Go:
https://go.dev/cl/501224
https://go.dev/issue/60306
https://github.com/golang/go/issues/60513
https://github.com/golang/go/issues/60514

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29405

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://go.dev/cl/501224https://go.dev/issue/60306https://groups.google.com/g/golang-announce/c/q5135a9d924/m/j0ZoAJOHAwAJhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/https://pkg.go.dev/vuln/GO-2023-1842https://access.redhat.com/security/cve/cve-2023-29405https://bugzilla.redhat.com/show_bug.cgi?id=2217569https://github.com/golang/go/issues/60513
Проверьте безопасность своего сайта и почты → Полная проверка домена