ASA-2018-00075 – Go: Directory traversal em “go get” via chaves nos caminhos de importação


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00075

Identificador(es)

ASA-2018-00075, CVE-2018-16874

Título

Directory traversal em “go get” via chaves nos caminhos de importação

Fabricante(s)

Google

Produto(s)

Go

Versão(ões) afetada(s)

Go anterior a 1.11.3 e 1.10.6

Versão(ões) corrigida(s)

Go 1.11.3
Go 1.10.6

Prova de conceito

Desconhecido

Descrição

O comando “go get” é vulnerável à passagem de diretórios quando executado com o caminho de importação de um pacote Go malicioso que contém chaves (caracteres ‘{‘ e ‘}’). Especificamente, é apenas vulnerável no modo GOPATH, mas não no modo de módulo. Um atacante pode causar uma gravação arbitrária no sistema de arquivos, o que pode levar à execução de código.

Detalhes técnicos

Desconhecido

Créditos

ztz (Tencent Security Platform)

Referência(s)

Go security releases 1.11.3 and 1.10.6
https://seclists.org/oss-sec/2018/q4/254

cmd/go: directory traversal in “go get” via curly braces in import paths #29231
https://github.com/golang/go/issues/29231

[release-branch.go1.11-security] cmd/go: reject ‘get’ of paths containing leading dots or unsupported characters
https://github.com/golang/go/commit/8954addb3294a5e664a9833354bafa58f163fe8f

[release-branch.go1.10-security] cmd/go: reject ‘get’ of paths containing leading dots or unsupported characters
https://github.com/golang/go/commit/90d609ba6156299642d08afc06d85ab770a03972

CVE-2018-16874
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16874

CVE-2018-16874
https://nvd.nist.gov/vuln/detail/CVE-2018-16874

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 de dezembro de 2018