阿里云漏洞库

漏洞描述

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。

Google Golang 存在路径遍历漏洞。目前尚无此漏洞的相关信息，请随时关注阿里云漏洞库或厂商公告。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议用户随时关注厂商主页或参考网址以获取解决办法：

https://go.dev/

参考链接
https://go.dev/cl/401595
https://go.dev/issue/52476
https://go.googlesource.com/go/+/9cd1818a7d019c02fa4898b3e45a323e35033290
https://groups.google.com/g/golang-announce
https://groups.google.com/g/golang-announce/c/TzIC9-t8Ytg
https://groups.google.com/g/golang-announce/c/TzIC9-t8Ytg/m/IWz5T6x7AAAJ
https://pkg.go.dev/vuln/GO-2022-0533

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.17.11
	运行在以下环境
	应用	golang	go	*	From (including) 1.18.0	Up to (excluding) 1.18.3
	运行在以下环境
	系统	alpine_3.16	go	*		Up to (excluding) 1.18.4-r0
	运行在以下环境
	系统	debian_10	golang-1.11	*		Up to (excluding) 1.11.6-1+deb10u7
	运行在以下环境
	系统	debian_11	golang-1.15	*		Up to (excluding) 1.15.15-1~deb11u4
	运行在以下环境
	系统	opensuse_Leap_15.3	go1.17	*		Up to (excluding) 1.17.11-150000.1.37.1
	运行在以下环境
	系统	opensuse_Leap_15.4	go1.17	*		Up to (excluding) 1.17.11-150000.1.37.1
	运行在以下环境
	系统	opensuse_Leap_15.5	go1.18-openssl	*		Up to (excluding) 1.18.10.1-150000.1.9.1

攻击路径

N/A
攻击复杂度

N/A
权限要求

N/A
影响范围

N/A
EXP成熟度

N/A
补丁情况

N/A
数据保密性

N/A
数据完整性

N/A
服务器危害

N/A
全网数量

N/A

CWE-ID	漏洞类型
CWE-22	对路径名的限制不恰当（路径遍历）

低危 Google Golang 路径遍历漏洞（CVE-2022-29804）

漏洞描述

解决建议

参考链接

受影响软件情况