检测

RHEL 7:go-toolset-7 和 go-toolset-7-golang (RHSA-2017:3463)

critical Nessus 插件 ID 105367

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

go-toolset-7 和 go-toolset-7-golang 更新现在可用于 Red Hat Developer 工具。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Go Toolset 提供 Go 编程语言工具及库。Go 又称为 golang。安全修复:* Go 的“go get”命令处理源代码存储库检出的方式中发现任意命令执行缺陷。能够主控恶意存储库的远程攻击者可能会利用此缺陷,在客户端造成任意命令执行。(CVE-2017-15041) * 据发现,Go 中的 smtp.PlainAuth 验证方案未正确验证 TLS 请求。远程中间人攻击者可能利用此缺陷找到 Go 应用程序发送的 SMTP 凭证。(CVE-2017-15042) 缺陷修复:* 之前,go-toolset-7 Software Collection 的启用脚本错误地将 GOPATH 环境变量设定到需有 root 权限才能执行写入操作的目录。因此,go 编译器会在执行特定命令时意外终止。已变更启用脚本,可正确处理 GOPATH,所述问题已不再发生。(BZ#1512013)

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?54db15c8

https://access.redhat.com/errata/RHSA-2017:3463

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1498867

https://bugzilla.redhat.com/show_bug.cgi?id=1498870

插件详情

严重性: Critical

ID: 105367

文件名: redhat-RHSA-2017-3463.nasl

版本: 3.9

类型: local

代理: unix

发布时间: 2017/12/19

最近更新时间: 2024/4/27

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2017-15041

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:go-toolset-7, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-build, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-dockerfiles, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-bin, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-docs, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-misc, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-race, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-src, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-golang-tests, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-runtime, p-cpe:/a:redhat:enterprise_linux:go-toolset-7-scldevel, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/12/14

漏洞发布日期: 2017/10/5

参考资料信息

CVE: CVE-2017-15041, CVE-2017-15042

CWE: 300

RHSA: 2017:3463