低危 Google Golang 安全漏洞

CVE编号

CVE-2021-33197

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-09-08
漏洞描述
Google Golang 1.16.5之前版本存在安全漏洞。该漏洞源于网络中的LookupCNAME、LookupSRV、LookupMX、LookupNS和LookupAdd 函数及其在Resolver类型上的相应方法可能会返回从 DNS 检索的任意值,这些值不遵循已建立的 RFC 1035 域名规则。如果这些名称未经进一步清理就使用,例如不安全地包含在HTML中,它们可能允许注入意外内容。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://groups.google.com/g/golang-announce/c/RgCMkAEQjSI/m/r_EP-NlKBgAJ?pli=1。
参考链接
https://groups.google.com/g/golang-announce
https://groups.google.com/g/golang-announce/c/RgCMkAEQjSI
https://packetstormsecurity.com/files/163764/Red-Hat-Security-Advisory-2021-2...
https://www.auscert.org.au/bulletins/ESB-2021.2735
https://www.auscert.org.au/bulletins/ESB-2021.2939
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 golang go * Up to
(excluding)
1.15.13
运行在以下环境
应用 golang go * From
(including)
1.16.0 		Up to
(excluding)
1.16.5
运行在以下环境
系统 alpine_3.13 go * Up to
(excluding)
1.15.13-r0
运行在以下环境
系统 alpine_3.14 go * Up to
(excluding)
1.16.5-r0
运行在以下环境
系统 alpine_3.15 go * Up to
(excluding)
1.16.5-r0
运行在以下环境
系统 alpine_3.16 go * Up to
(excluding)
1.16.5-r0
运行在以下环境
系统 alpine_edge go * Up to
(excluding)
1.16.5-r0
运行在以下环境
系统 amazon_AMI go * Up to
(excluding)
1.15.14-1.69.amzn1
运行在以下环境
系统 centos_8 go * Up to
(excluding)
7.5.9-4.el8
运行在以下环境
系统 debian_10 go * Up to
(including)
1.11.6-1+deb10u4
运行在以下环境
系统 debian_9 go * Up to
(including)
1.7.4-2+deb9u1
运行在以下环境
系统 fedora_EPEL_7 go * Up to
(excluding)
1.15.14-1.el7
运行在以下环境
系统 opensuse_Leap_15.2 go * Up to
(excluding)
1.15.13-lp152.20.1
运行在以下环境
系统 opensuse_Leap_15.3 go * Up to
(excluding)
1.16.5-1.17.1
运行在以下环境
系统 oracle_8 go * Up to
(excluding)
7.5.9-4.el8
运行在以下环境
系统 redhat_8 go * Up to
(excluding)
7.5.9-4.el8
阿里云评分
3.3
  • 攻击路径
    本地
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    N/A
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-862 授权机制缺失
阿里云安全产品覆盖情况