Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2023-29405

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2023-29405
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2023-29405

PUBLISHED 06.01.2025

CNA: Go

Improper sanitization of LDFLAGS with embedded spaces in go command with cgo in cmd/go

Обновлено: 04.01.2024
The go command may execute arbitrary code at build time when using cgo. This may occur when running "go get" on a malicious module, or when running any other command which builds untrusted code. This is can by triggered by linker flags, specified via a "#cgo LDFLAGS" directive. Flags containing embedded spaces are mishandled, allowing disallowed flags to be smuggled through the LDFLAGS sanitization by including them in the argument of another flag. This only affects usage of the gccgo compiler.

БДУ ФСТЭК

Идентификатор Описание
BDU:2023-04160 Уязвимость расширения Cgo языка программирования Go, позволяющая нарушителю выполнить произвольный код

Доп. Информация

Product Status

cmd/go
Product: cmd/go
Vendor: Go toolchain
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 0 до 1.19.10 affected
Наблюдалось в версиях от 1.20.0-0 до 1.20.5 affected
cmd/cgo
Product: cmd/cgo
Vendor: Go toolchain
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 0 до 1.19.10 affected
Наблюдалось в версиях от 1.20.0-0 до 1.20.5 affected
 

Ссылки

https://go.dev/issue/60306
https://go.dev/cl/501224
https://groups.google.com/g/golang-announce/c/q5135a9d924/m/j0ZoAJOHAwAJ
https://pkg.go.dev/vuln/GO-2023-1842
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NZ2O6YCO2IZMZJELQGZYR2WAU...
https://security.gentoo.org/glsa/202311-09

CVE Program Container

Обновлено: 06.12.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://go.dev/issue/60306
https://go.dev/cl/501224
https://groups.google.com/g/golang-announce/c/q5135a9d924/m/j0ZoAJOHAwAJ
https://pkg.go.dev/vuln/GO-2023-1842
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBS3IIK6ADV24C5ULQU55QLT2...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NZ2O6YCO2IZMZJELQGZYR2WAU...
https://security.gentoo.org/glsa/202311-09
https://security.netapp.com/advisory/ntap-20241206-0003/

CISA ADP Vulnrichment

Обновлено: 06.01.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

CVSS

Оценка Severity Версия Базовый вектор
9.8 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none yes total 2.0.3 06.01.2025
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.