For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00076
Identificador(es)
ASA-2018-00076, CVE-2018-16875
Título
Negação de serviço da CPU na validação da cadeia
Fabricante(s)
Produto(s)
Go
Versão(ões) afetada(s)
Go anterior a 1.11.3 e 1.10.6
Versão(ões) corrigida(s)
Go 1.11.3
Go 1.10.6
Prova de conceito
Desconhecido
Descrição
O pacote crypto/x509 não limita a quantidade de trabalho realizado para cada verificação de cadeia, o que pode permitir que atacantes criem entradas patológicas, levando a uma negação de serviço da CPU. Os servidores TLS no Go aceitam certificados de clientes e os clientes TLS que verificam os certificados são afetados.
Detalhes técnicos
Desconhecido
Créditos
Netflix
Referência(s)
Go security releases 1.11.3 and 1.10.6
https://seclists.org/oss-sec/2018/q4/254
crypto/x509: CPU denial of service in chain validation #29233
https://golang.org/issue/29233
[release-branch.go1.11-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/df523969435b8945d939c7e2a849b50910ef4c25
[release-branch.go1.10-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/0a4a37f1f0a36e55d8ae5c34210a79499f9f2a9d
CVE-2018-16875
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16875
CVE-2018-16875
https://nvd.nist.gov/vuln/detail/CVE-2018-16875
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 15 dezembro 2018