ASA-2018-00075 – Go: Directory traversal em “go get” via chaves nos caminhos de importação


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00075

Identificador(es)

ASA-2018-00075, CVE-2018-16874

Título

Directory traversal em “go get” via chaves nos caminhos de importação

Fabricante(s)

Google

Produto(s)

Go

Versão(ões) afetada(s)

Go anterior a 1.11.3 e 1.10.6

Versão(ões) corrigida(s)

Go 1.11.3
Go 1.10.6

Prova de conceito

Desconhecido

Descrição

O comando “go get” é vulnerável à passagem de diretórios quando executado com o caminho de importação de um pacote Go malicioso que contém chaves (caracteres ‘{‘ e ‘}’). Especificamente, é apenas vulnerável no modo GOPATH, mas não no modo de módulo. Um atacante pode causar uma gravação arbitrária no sistema de arquivos, o que pode levar à execução de código.

Detalhes técnicos

Desconhecido

Créditos

ztz (Tencent Security Platform)

Referência(s)

Go security releases 1.11.3 and 1.10.6
https://seclists.org/oss-sec/2018/q4/254

cmd/go: directory traversal in “go get” via curly braces in import paths #29231
https://github.com/golang/go/issues/29231

[release-branch.go1.11-security] cmd/go: reject ‘get’ of paths containing leading dots or unsupported characters
https://github.com/golang/go/commit/8954addb3294a5e664a9833354bafa58f163fe8f

[release-branch.go1.10-security] cmd/go: reject ‘get’ of paths containing leading dots or unsupported characters
https://github.com/golang/go/commit/90d609ba6156299642d08afc06d85ab770a03972

CVE-2018-16874
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16874

CVE-2018-16874
https://nvd.nist.gov/vuln/detail/CVE-2018-16874

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 dezembro 2018

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.