ASA-2018-00076 – Go: Negação de serviço da CPU na validação da cadeia

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00076

Identificador(es)

ASA-2018-00076, CVE-2018-16875

Título

Negação de serviço da CPU na validação da cadeia

Fabricante(s)

Google

Produto(s)

Go

Versão(ões) afetada(s)

Go anterior a 1.11.3 e 1.10.6

Versão(ões) corrigida(s)

Go 1.11.3
Go 1.10.6

Prova de conceito

Desconhecido

Descrição

O pacote crypto/x509 não limita a quantidade de trabalho realizado para cada verificação de cadeia, o que pode permitir que atacantes criem entradas patológicas, levando a uma negação de serviço da CPU. Os servidores TLS no Go aceitam certificados de clientes e os clientes TLS que verificam os certificados são afetados.

Detalhes técnicos

Desconhecido

Créditos

Netflix

Referência(s)

Go security releases 1.11.3 and 1.10.6
https://seclists.org/oss-sec/2018/q4/254

crypto/x509: CPU denial of service in chain validation #29233
https://golang.org/issue/29233

[release-branch.go1.11-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/df523969435b8945d939c7e2a849b50910ef4c25

[release-branch.go1.10-security] crypto/x509: limit number of signature checks for each verification
https://github.com/golang/go/commit/0a4a37f1f0a36e55d8ae5c34210a79499f9f2a9d

CVE-2018-16875
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16875

CVE-2018-16875
https://nvd.nist.gov/vuln/detail/CVE-2018-16875

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 dezembro 2018