ClickCease De multiples vulnérabilités Go corrigées dans Ubuntu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

De multiples vulnérabilités Go corrigées dans Ubuntu

Rohan Timalsina

Le 24 janvier 2024 - L'équipe d'experts de TuxCare

Go est un langage de programmation open-source qui a gagné en popularité en raison de son efficacité et de sa simplicité. Cependant, comme pour tout logiciel, des vulnérabilités peuvent se cacher dans ses bibliothèques et ses modules. Il est essentiel de se tenir au courant de ces vulnérabilités et d'appliquer les correctifs à temps pour protéger les applications et maintenir un code sécurisé.

Les récentes mises à jour de sécurité d'Ubuntu ont corrigé plusieurs vulnérabilités Go dans différentes versions, soulignant l'importance de vérifier régulièrement les vulnérabilités. Nous allons nous pencher sur ces questions et comprendre les conséquences qu'elles pourraient avoir sur vos systèmes Ubuntu.

 

Ubuntu corrige les vulnérabilités de Go

 

CVE-2023-39318, CVE-2023-39319 (score de sévérité Cvss 3 : 6.1 moyen)

L'une des vulnérabilités de Go découvertes par Takeshi Kaneko concerne le module html/template de Go. Cette faille permet aux attaquants d'injecter du code JavaScript malveillant, ce qui peut conduire à une attaque de type cross-site scripting. Notamment, ce problème n'affecte que Go 1.20 dans Ubuntu 20.04 LTS, 22.04 LTS et 23.04.

 

CVE-2023-39323 (score de gravité Cvss 3 : 8.1 élevé)

Un autre problème important provient du fait que Go ne valide pas correctement les directives "//go:cgo_" lors de la compilation. L'exploitation de cette vulnérabilité pourrait permettre à un attaquant d'injecter du code arbitraire lors de la compilation, ce qui constitue une menace sérieuse pour la sécurité.

 

CVE-2023-39325, CVE-2023-44487 (score de gravité Cvss 3 : 7.5 élevé)

Le module net/http de Go, responsable du traitement des requêtes HTTP, présente une vulnérabilité liée à la limitation de l'exécution simultanée de goroutines de traitement. Cette faille pouvait être exploitée par des attaquants pour provoquer une panique, résultant en un déni de service.

 

CVE-2023-39326 (Score de gravité Cvss 3 : 5.3 Moyen)

Le module net/http de Go présente une vulnérabilité dans laquelle il ne parvient pas à valider correctement les extensions de morceaux lors de la lecture d'une requête ou d'un corps de réponse. Cette faille permet à des attaquants de lire des informations sensibles, compromettant ainsi l'intégrité du système.

 

CVE-2023-45285 (score de gravité Cvss 3 : 7,5 élevé)

La gestion par Go du protocole non sécurisé "git://" lors de l'utilisation de go get pour récupérer un module avec le suffixe ".git" a été identifiée comme un autre risque potentiel. Les attaquants pourraient exploiter cette vulnérabilité pour contourner les vérifications de protocoles sécurisés, ce qui constituerait une menace pour la sécurité globale du système.

 

Conclusion

 

Assurer la sécurité de votre système Ubuntu est un effort permanent, surtout dans le paysage en constante évolution de la cybersécurité. Les récentes mises à jour de sécurité concernant les vulnérabilités de Go soulignent l'importance de rester vigilant et d'appliquer rapidement les mises à jour. En restant informés et proactifs, les utilisateurs d'Ubuntu peuvent atténuer les risques associés à ces vulnérabilités identifiées et garantir l'intégrité de leurs systèmes.

La correction de ces vulnérabilités nécessite un redémarrage du système après la mise à jour. Les systèmes Ubuntu qui ne peuvent se permettre aucun temps d'arrêt peuvent opter pour une solution de correction sans redémarrage, KernelCare Enterprise. KernelCare automatise le déploiement des correctifs de sécurité sur le système sans avoir à le redémarrer. Il prend en charge un large éventail de distributions Linux d'entreprise, telles qu'Ubuntu, RHEL, CentOS, Oracle Linux, AlmaLinux, RHEL, Rocky Linux, etc .

Pour plus de détails sur le live patching de KernelCare, reportez-vous à ce guide.

Les sources de cet article se trouvent dans l'USN-6574-1.

Résumé
De multiples vulnérabilités Go corrigées dans Ubuntu
Nom de l'article
De multiples vulnérabilités Go corrigées dans Ubuntu
Description
Découvrez les dernières mises à jour de sécurité pour Ubuntu, qui corrigent les vulnérabilités critiques de Go. Protégez votre système contre les menaces potentielles.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information