Обновление языка Go 1.11.5 и 1.10.8 с устранением уязвимости
Опубликованы корректирующие выпуски языка программирования Go 1.11.5 и 1.10.8, в которых устранена уязвимость (CVE-2019–6486) в модуле crypto. Проблема вызвана недоработкой в реализации эллиптических кривых (P-521 и P-384), которая может использоваться для инициирования отказа в обслуживании (создание большой нагрузки на CPU). Не исключается и потенциальная возможность использования проблемы для создания атак, осуществляющих воссоздание закрытого ключа ECDH, если он повторно используется больше одного раза.
Уязвимость может быть эксплуатирована в приложениях, обрабатывающих поступающие извне сертификаты X.509, цифровые подписи ECDSA и JWT-токены. Атака также может быть совершена при обработке клиентскими или серверными приложениями протоколов на базе ECDH и соединений TLS (с использованием реализации TLS на языке Go). В дистрибутивах проблема пока остаётся неисправленной (Debian, RHEL/EPEL, Fedora, SUSE, Ubuntu, FreeBSD)
© OpenNet