ГлавнаяБаза уязвимостей БДУ → BDU:2023-04161
10критическая

BDU:2023-04161 (CVE-2023-29404)

Уязвимость расширения Cgo языка программирования Go, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-07-27
Описание

Уязвимость расширения Cgo языка программирования Go связана с неверным управлением генерацией кода при обработке аргументов флагов компановщика из директивы CgoLDFLAGS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Ceph Storage (3)Red Hat Storage (3)РЕД ОС (7.3)Red Hat Enterprise Linux (9)Fedora (38)Go (до 1.19.10)Go (от 1.20.0 до 1.20.5)Red Hat Developer ToolsROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Go:
https://github.com/golang/go/issues/60511
https://github.com/golang/go/issues/60305
https://github.com/golang/go/issues/60512
https://go.dev/cl/501225

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29404

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2830

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://go.dev/cl/501225https://go.dev/issue/60305https://groups.google.com/g/golang-announce/c/q5135a9d924/m/j0ZoAJOHAwAJhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2UE762ZX/https://pkg.go.dev/vuln/GO-2023-1841https://access.redhat.com/security/cve/cve-2023-29404https://github.com/golang/go/issues/60511https://github.com/golang/go/issues/60512
Проверьте безопасность своего сайта и почты → Полная проверка домена