ASA-2019-00522 – Go: Múltiplas questões durante parsing em URL.Parse

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00522

Identificador(es)

ASA-2019-00522, CVE-2019-14809

Título

Múltiplas questões durante parsing em URL.Parse

Fabricante(s)

Google

Produto(s)

Go

Versão(ões) afetada(s)

Todas as versões do Go

Versão(ões) corrigida(s)

Go versão 1.12.8
Go versão 1.11.13

Prova de conceito

Desconhecido

Descrição

url.Parse aceita URLs com hosts malformados, de modo que o campo Host pode conter sufixos arbitrários que não aparecem em Hostname() nem em Port(), permitindo que a autorização seja ignorada em determinadas aplicações.

Detalhes técnicos

Desconhecido

Créditos

Adi Cohen

Referência(s)

[security] Go 1.12.8 and Go 1.11.13 are released
https://groups.google.com/forum/#!msg/golang-announce/65QixT3tcmg/DrFiG6vvCwAJ

net/url: URL.Parse Multiple Parsing Issues #29098
https://github.com/golang/go/issues/29098

CVE-2019-9514
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9514

CVE-2019-9514
https://nvd.nist.gov/vuln/detail/CVE-2019-9514

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 27 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.