ГлавнаяБаза уязвимостей БДУ → BDU:2024-11338
9.4критическая

BDU:2024-11338

Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2025-06-20
Описание

Уязвимость функции ServerConfig.PublicKeyCallback() библиотеки для языка программирования Go crypto связана с недостатками процедуры авторизации при обработке ключей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничения безопасности

Затрагиваемое ПО и версии
РЕД ОС (7.3)АЛЬТ СП 10crypto (до 0.31.0)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Go crypto:
https://github.com/golang/crypto/commit/b4f1988a35dee11ec3e05d6bf3e90b695fbd8909
https://groups.google.com/g/golang-announce/c/-nPEi39gI4Q/m/cGVPJCqdAQAJ
https://go-review.googlesource.com/c/crypto/+/635315

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-etcd-0312202502/?sphrase_id=1370646



Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/12/11/2https://github.com/golang/crypto/commit/b4f1988a35dee11ec3e05d6bf3e90b695fbd8909https://go.dev/cl/635315https://go.dev/issue/70779https://groups.google.com/g/golang-announce/c/-nPEi39gI4Q/m/cGVPJCqdAQAJhttps://pkg.go.dev/vuln/GO-2024-3321http://repo.red-soft.ru/redos/7.3c/x86_64/updateshttps://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена