阿里云漏洞库

低危 Google Go up to 1.10.5/1.11.2 crypto-x509 Package CPU Exhaustion 拒绝服务漏洞

CVE编号

CVE-2018-16875

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2018-12-15

漏洞描述

在1.11.6之前的Go的crypto / x509包和1.11.3之前的1.11.x并不限制每个链验证所执行的工作量，这可能允许攻击者制作导致CPU拒绝服务的病态输入。 Go TLS服务器接受客户端证书，TLS客户端受到影响。<br>

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-03/msg00044.html
http://lists.opensuse.org/opensuse-security-announce/2019-05/msg00060.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00011.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00015.html
http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00010.html
http://www.securityfocus.com/bid/106230
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16875
https://groups.google.com/forum/?pli=1#%21topic/golang-announce/Kw31K8G7Fi0
https://security.gentoo.org/glsa/201812-09

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.10.6
	运行在以下环境
	应用	golang	go	*	From (including) 1.11.0	Up to (excluding) 1.11.3
	运行在以下环境
	系统	amazon_AMI	golang	*		Up to (excluding) 1.10.6-1.47.amzn1
	运行在以下环境
	系统	debian_10	golang-1.11	*		Up to (excluding) 1.11.3-1
	运行在以下环境
	系统	fedora_28	golang	*		Up to (excluding) 1.10.7-1.fc28
	运行在以下环境
	系统	fedora_29	golang	*		Up to (excluding) 1.11.4-1.fc29
	运行在以下环境
	系统	fedora_29_Containers	golang	*		Up to (excluding) 1.11-6.fc29
	运行在以下环境
	系统	fedora_EPEL_6	golang	*		Up to (excluding) 1.11.4-1.el6
	运行在以下环境
	系统	fedora_EPEL_7	golang	*		Up to (excluding) 1.11.4-1.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	go	*		Up to (excluding) 1.12-lp150.2.11.1
	运行在以下环境
	系统	opensuse_Leap_15.1	go	*		Up to (excluding) 18.09.6_ce-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	go1.10	*		Up to (excluding) 1.10.7-5.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-295	证书验证不恰当