ClickCease Múltiples vulnerabilidades Go corregidas en Ubuntu

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Múltiples vulnerabilidades Go corregidas en Ubuntu

por Rohan Timalsina

24 de enero de 2024 - Equipo de expertos TuxCare

Go es un lenguaje de programación de código abierto que ha ganado popularidad por su eficiencia y simplicidad. Sin embargo, como ocurre con cualquier software, las vulnerabilidades pueden acechar dentro de sus bibliotecas y módulos. Es esencial estar al tanto de estas vulnerabilidades y aplicar correcciones a tiempo para salvaguardar las aplicaciones y mantener un código seguro.

Las recientes actualizaciones de seguridad de Ubuntu abordan varias vulnerabilidades de Go en diferentes versiones, lo que pone de relieve la importancia de realizar comprobaciones periódicas de vulnerabilidades. Profundicemos en estos problemas y comprendamos las repercusiones que podrían tener en sus sistemas Ubuntu.

 

Ubuntu soluciona las vulnerabilidades de Go

 

CVE-2023-39318, CVE-2023-39319 (puntuación de gravedad de Cvss 3: 6.1 Medium)

Una de las vulnerabilidades de Go descubiertas por Takeshi Kaneko pertenece al módulo html/template de Go. Este fallo permite a los atacantes inyectar código JavaScript malicioso, lo que puede dar lugar a un ataque de scripting entre sitios. En particular, este problema sólo afecta a Go 1.20 en Ubuntu 20.04 LTS, 22.04 LTS y 23.04.

 

CVE-2023-39323 (puntuación de gravedad de Cvss 3: 8,1 alta)

Otra preocupación significativa surge de la falta de validación adecuada de Go de las directivas "//go:cgo_" durante la compilación. La explotación de esta vulnerabilidad podría permitir a un atacante inyectar código arbitrario durante la compilación, lo que supondría una grave amenaza para la seguridad.

 

CVE-2023-39325, CVE-2023-44487 (puntuación de gravedad Cvss 3: 7,5 alta)

El módulo net/http de Go, responsable del manejo de peticiones HTTP, se enfrentaba a una vulnerabilidad relacionada con la limitación de ejecutar simultáneamente goroutines manejadoras. Este defecto podía ser explotado por atacantes para causar pánico, resultando en una denegación de servicio.

 

CVE-2023-39326 (puntuación de gravedad de Cvss 3: 5,3 Media)

El módulo net/http de Go presentaba una vulnerabilidad por la que no validaba correctamente las extensiones de trozo al leer de un cuerpo de petición o respuesta. Este fallo abre la posibilidad a los atacantes de leer información sensible, comprometiendo la integridad del sistema.

 

CVE-2023-45285 (puntuación de gravedad de Cvss 3: 7,5 alta)

El manejo de Go del protocolo inseguro "git://" cuando se utiliza go get para obtener un módulo con el sufijo ".git" ha sido identificado como otro riesgo potencial. Los atacantes podrían explotar esta vulnerabilidad para saltarse las comprobaciones seguras del protocolo, lo que supondría una amenaza para la seguridad general del sistema.

 

Conclusión

 

Mantener su sistema Ubuntu seguro es un esfuerzo continuo, especialmente en el panorama en constante evolución de la ciberseguridad. Las recientes actualizaciones de seguridad que abordan las vulnerabilidades de Go subrayan la importancia de mantenerse alerta y aplicar rápidamente las actualizaciones. Manteniéndose informados y proactivos, los usuarios de Ubuntu pueden mitigar los riesgos asociados a estas vulnerabilidades identificadas y garantizar la integridad de sus sistemas.

Parchear estas vulnerabilidades requiere reiniciar el sistema después de actualizarlo. Los sistemas Ubuntu que no pueden permitirse ningún tiempo de inactividad pueden optar por una solución de parcheo sin reinicio, KernelCare Enterprise. KernelCare automatiza el despliegue de parches de seguridad en el sistema sin necesidad de reiniciarlo. Es compatible con una amplia gama de distribuciones empresariales de Linux, como Ubuntu, RHEL, CentOS, Oracle Linux, AlmaLinux, RHEL, Rocky Linux, etc.

Para obtener más información sobre KernelCare live patching, consulte esta guía.

Las fuentes de este artículo se encuentran en USN-6574-1.

Resumen
Múltiples vulnerabilidades Go corregidas en Ubuntu
Nombre del artículo
Múltiples vulnerabilidades Go corregidas en Ubuntu
Descripción
Descubra las últimas actualizaciones de seguridad para Ubuntu, que abordan vulnerabilidades críticas de Go. Proteja su sistema de posibles amenazas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.