ASA-2018-00076 – Go: Negação de serviço da CPU na validação da cadeia

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00076

Identificador(es)

ASA-2018-00076, CVE-2018-16875

Título

Negação de serviço da CPU na validação da cadeia

Fabricante(s)

Google

Produto(s)

Go

Versão(ões) afetada(s)

Go anterior a 1.11.3 e 1.10.6

Versão(ões) corrigida(s)

Go 1.11.3
Go 1.10.6

Prova de conceito

Desconhecido

Descrição

O pacote crypto/x509 não limita a quantidade de trabalho realizado para cada verificação de cadeia, o que pode permitir que atacantes criem entradas patológicas, levando a uma negação de serviço da CPU. Os servidores TLS no Go aceitam certificados de clientes e os clientes TLS que verificam os certificados são afetados.

Detalhes técnicos

Desconhecido

Créditos

Netflix

Referência(s)

Go security releases 1.11.3 and 1.10.6
https://seclists.org/oss-sec/2018/q4/254

crypto/x509: CPU denial of service in chain validation #29233
https://golang.org/issue/29233

[release-branch.go1.11-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/df523969435b8945d939c7e2a849b50910ef4c25

[release-branch.go1.10-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/0a4a37f1f0a36e55d8ae5c34210a79499f9f2a9d

CVE-2018-16875
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16875

CVE-2018-16875
https://nvd.nist.gov/vuln/detail/CVE-2018-16875

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 dezembro 2018

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.