Mehrere Go-Schwachstellen in Ubuntu behoben
Go ist eine Open-Source-Programmiersprache, die aufgrund ihrer Effizienz und Einfachheit an Popularität gewonnen hat. Wie bei jeder Software können jedoch auch in den Bibliotheken und Modulen Schwachstellen lauern. Es ist wichtig, sich dieser Schwachstellen bewusst zu sein und sie rechtzeitig zu beheben, um Anwendungen zu schützen und sicheren Code zu erhalten.
Die jüngsten Ubuntu-Sicherheitsupdates haben mehrere Go-Schwachstellen in verschiedenen Versionen behoben, was die Bedeutung regelmäßiger Schwachstellenprüfungen unterstreicht. Lassen Sie uns diese Probleme näher betrachten und die Auswirkungen verstehen, die sie auf Ihre Ubuntu-Systeme haben könnten.
Ubuntu behebt Go-Schwachstellen
CVE-2023-39318, CVE-2023-39319 (Cvss 3 Schweregrad: 6.1 Mittel)
Eine der von Takeshi Kaneko entdeckten Go-Schwachstellen betrifft das html/template-Modul von Go. Diese Schwachstelle ermöglicht es Angreifern, bösartigen JavaScript-Code einzuschleusen, was zu einem Cross-Site-Scripting-Angriff führen kann. Bemerkenswert ist, dass dieses Problem nur Go 1.20 in Ubuntu 20.04 LTS, 22.04 LTS und 23.04 betrifft.
CVE-2023-39323 (Cvss 3 Schweregrad: 8.1 Hoch)
Ein weiteres großes Problem ergibt sich aus der fehlenden Validierung von "//go:cgo_"-Direktiven in Go während der Kompilierung. Die Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, während der Kompilierung beliebigen Code einzuschleusen, was eine ernsthafte Sicherheitsbedrohung darstellt.
CVE-2023-39325, CVE-2023-44487 (Cvss 3 Schweregrad: 7.5 Hoch)
Das net/http-Modul von Go, das für die Bearbeitung von HTTP-Anfragen zuständig ist, wies eine Schwachstelle auf, die mit der Beschränkung der gleichzeitigen Ausführung von Handler-Goroutinen zusammenhängt. Diese Schwachstelle könnte von Angreifern ausgenutzt werden, um eine Panik auszulösen, die zu einem Denial-of-Service führt.
CVE-2023-39326 (Cvss 3 Schweregrad: 5.3 Mittel)
Das net/http-Modul in Go wies eine Schwachstelle auf, bei der es nicht in der Lage war, Chunk-Erweiterungen ordnungsgemäß zu validieren, wenn es aus einem Anfrage- oder Antwortkörper las. Diese Schwachstelle eröffnet Angreifern die Möglichkeit, sensible Informationen zu lesen und so die Integrität des Systems zu gefährden.
CVE-2023-45285 (Cvss 3 Schweregrad: 7.5 Hoch)
Go's Umgang mit dem unsicheren "git://"-Protokoll bei der Verwendung von go get, um ein Modul mit dem Suffix ".git" zu holen, wurde als weiteres potenzielles Risiko identifiziert. Angreifer könnten diese Schwachstelle ausnutzen, um sichere Protokollprüfungen zu umgehen, was eine Gefahr für die Gesamtsicherheit des Systems darstellt.
Schlussfolgerung
Die Sicherheit Ihres Ubuntu-Systems ist eine ständige Aufgabe, insbesondere in der sich ständig weiterentwickelnden Landschaft der Cybersicherheit. Die jüngsten Sicherheitsupdates zur Behebung von Go-Schwachstellen unterstreichen, wie wichtig es ist, wachsam zu bleiben und Updates umgehend zu installieren. Indem sie informiert bleiben und proaktiv handeln, können Ubuntu-Benutzer die mit diesen identifizierten Schwachstellen verbundenen Risiken verringern und die Integrität ihrer Systeme sicherstellen.
Das Patchen dieser Sicherheitslücken erfordert einen Neustart nach der Aktualisierung des Systems. Ubuntu-Systeme, die sich keine Ausfallzeiten leisten können, können sich für eine rebootlose Patching-Lösung entscheiden: KernelCare Enterprise. KernelCare automatisiert die Bereitstellung von Sicherheits-Patches für das System, ohne dass das System neu gestartet werden muss. Es unterstützt eine breite Palette von Linux-Unternehmensdistributionen wie Ubuntu, RHEL, CentOS, Oracle Linux, AlmaLinux, RHEL, Rocky Linux und andere.
Weitere Details zum KernelCare Live-Patching finden Sie in diesem Handbuch.
Die Quellen für diesen Artikel finden Sie unter USN-6574-1.