Múltiples vulnerabilidades Go corregidas en Ubuntu
Go es un lenguaje de programación de código abierto que ha ganado popularidad por su eficiencia y simplicidad. Sin embargo, como ocurre con cualquier software, las vulnerabilidades pueden acechar dentro de sus bibliotecas y módulos. Es esencial estar al tanto de estas vulnerabilidades y aplicar correcciones a tiempo para salvaguardar las aplicaciones y mantener un código seguro.
Las recientes actualizaciones de seguridad de Ubuntu abordan varias vulnerabilidades de Go en diferentes versiones, lo que pone de relieve la importancia de realizar comprobaciones periódicas de vulnerabilidades. Profundicemos en estos problemas y comprendamos las repercusiones que podrían tener en sus sistemas Ubuntu.
Ubuntu soluciona las vulnerabilidades de Go
CVE-2023-39318, CVE-2023-39319 (puntuación de gravedad de Cvss 3: 6.1 Medium)
Una de las vulnerabilidades de Go descubiertas por Takeshi Kaneko pertenece al módulo html/template de Go. Este fallo permite a los atacantes inyectar código JavaScript malicioso, lo que puede dar lugar a un ataque de scripting entre sitios. En particular, este problema sólo afecta a Go 1.20 en Ubuntu 20.04 LTS, 22.04 LTS y 23.04.
CVE-2023-39323 (puntuación de gravedad de Cvss 3: 8,1 alta)
Otra preocupación significativa surge de la falta de validación adecuada de Go de las directivas "//go:cgo_" durante la compilación. La explotación de esta vulnerabilidad podría permitir a un atacante inyectar código arbitrario durante la compilación, lo que supondría una grave amenaza para la seguridad.
CVE-2023-39325, CVE-2023-44487 (puntuación de gravedad Cvss 3: 7,5 alta)
El módulo net/http de Go, responsable del manejo de peticiones HTTP, se enfrentaba a una vulnerabilidad relacionada con la limitación de ejecutar simultáneamente goroutines manejadoras. Este defecto podía ser explotado por atacantes para causar pánico, resultando en una denegación de servicio.
CVE-2023-39326 (puntuación de gravedad de Cvss 3: 5,3 Media)
El módulo net/http de Go presentaba una vulnerabilidad por la que no validaba correctamente las extensiones de trozo al leer de un cuerpo de petición o respuesta. Este fallo abre la posibilidad a los atacantes de leer información sensible, comprometiendo la integridad del sistema.
CVE-2023-45285 (puntuación de gravedad de Cvss 3: 7,5 alta)
El manejo de Go del protocolo inseguro "git://" cuando se utiliza go get para obtener un módulo con el sufijo ".git" ha sido identificado como otro riesgo potencial. Los atacantes podrían explotar esta vulnerabilidad para saltarse las comprobaciones seguras del protocolo, lo que supondría una amenaza para la seguridad general del sistema.
Conclusión
Mantener su sistema Ubuntu seguro es un esfuerzo continuo, especialmente en el panorama en constante evolución de la ciberseguridad. Las recientes actualizaciones de seguridad que abordan las vulnerabilidades de Go subrayan la importancia de mantenerse alerta y aplicar rápidamente las actualizaciones. Manteniéndose informados y proactivos, los usuarios de Ubuntu pueden mitigar los riesgos asociados a estas vulnerabilidades identificadas y garantizar la integridad de sus sistemas.
Parchear estas vulnerabilidades requiere reiniciar el sistema después de actualizarlo. Los sistemas Ubuntu que no pueden permitirse ningún tiempo de inactividad pueden optar por una solución de parcheo sin reinicio, KernelCare Enterprise. KernelCare automatiza el despliegue de parches de seguridad en el sistema sin necesidad de reiniciarlo. Es compatible con una amplia gama de distribuciones empresariales de Linux, como Ubuntu, RHEL, CentOS, Oracle Linux, AlmaLinux, RHEL, Rocky Linux, etc.
Para obtener más información sobre KernelCare live patching, consulte esta guía.
Las fuentes de este artículo se encuentran en USN-6574-1.