شناسایی آسیب‌پذیری در زبان برنامه‌نویسی GO
کد مطلب: 19261
تاریخ انتشار : چهارشنبه ۱۲ مرداد ۱۴۰۱ ساعت ۰۹:۰۰
 
زبان برنامه‌نویسی go در برخی نسخه‌ها یک آسیب‌پذیری با شدت بالا دارد.
شناسایی آسیب‌پذیری در زبان برنامه‌نویسی GO
 
 
Share/Save/Bookmark
زبان برنامه‌نویسی go در برخی نسخه‌ها یک آسیب‌پذیری با شدت بالا دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، زبان برنامه‌نویسی go در تمام نسخه‌های قبل از ۱.۱۷.۱۱ و از نسخه ۱.۱۸.۰ تا قبل از نسخه ۱.۱۸.۳ یک آسیب‌پذیری با شدت بالا (۷.۵ از ۱۰) دارد. منشأ این آسیب‌پذیری تابع Read درکتابخانه /crypto/rand است. حلقه نامحدود در این تابع به مهاجم این امکان را می‌دهد تا با ارسال یک بافر بزرگ‌تر از ۴۲۹۴۹۶۷۲۹۵ بایتی به تایع، یک هنگ نامحدود را ایجاد کند.
برای رفع این آسیب‌پذیری چهار ماژول این کتابخانه مطابق با اصلاحیه golang به کامیت شماره bb۱f۴۴۱۶۱۸۰۵۱۱۲۳۱de۶d۱۷a۱f۲f۵۵c۸۲aafc۸۶۳ به شرح زیر تغییر یافته‌اند.
در ماژول rand.go :
ماژول rand_batched_test.go
ماژول rand_unix

ماژول rand_windows.go
مرجع : مرکز ماهر