Google Go up to 1.5.3/1.6.0 crypto/dsa/dsa.go Verify 拒绝服务漏洞

admin

0
文章

0
评论

2023-12-05 11:28:32 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Google Go up to 1.5.3/1.6.0 crypto/dsa/dsa.go Verify 拒绝服务漏洞

CVE编号

CVE-2016-3959

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2016-05-24

漏洞描述

Google Go是美国谷歌（Google）公司的一种针对多处理器系统应用程序的编程进行了优化的编程语言。 Google Go 1.5.4之前版本和1.6.1之前1.6.x版本的crypto/dsa/dsa.go文件中的Verify函数存在拒绝服务漏洞，该漏洞源于程序未能正确检查传递到大型整数库中的参数。远程攻击者可借助使用HTTPS客户端证书或SSH服务器库的程序的公钥利用该漏洞造成拒绝服务（无限循环）。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：https://golang.org/cl/21533

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2016-April/182526.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183106.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183137.html
http://lists.opensuse.org/opensuse-updates/2016-05/msg00077.html
http://rhn.redhat.com/errata/RHSA-2016-1538.html
http://www.openwall.com/lists/oss-security/2016/04/05/1
http://www.openwall.com/lists/oss-security/2016/04/05/2
https://go-review.googlesource.com/
https://groups.google.com/forum/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	golang	go	*		Up to (including) 1.5
	运行在以下环境
	应用	golang	go	1.6	-
	运行在以下环境
	系统	amazon_AMI	golang	*		Up to (excluding) 1.5.3-1.21.amzn1
	运行在以下环境
	系统	centos_7	golang-misc	*		Up to (excluding) 1.6.3-1.el7_2.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	fedoraproject	fedora	22	-
	运行在以下环境
	系统	fedoraproject	fedora	23	-
	运行在以下环境
	系统	fedoraproject	fedora	24	-
	运行在以下环境
	系统	fedora_22	golang-tests	*		Up to (excluding) 1.5.4-1.fc22
	运行在以下环境
	系统	fedora_23	golang-tests	*		Up to (excluding) 1.5.4-1.fc23
	运行在以下环境
	系统	fedora_24	golang-tests	*		Up to (excluding) 1.6.1-1.fc24
	运行在以下环境
	系统	fedora_EPEL_6	golang-tests	*		Up to (excluding) 1.7.1-1.el6
	运行在以下环境
	系统	opensuse	leap	42.1	-
	运行在以下环境
	系统	opensuse_Leap_42.1	go	*		Up to (excluding) 1.6.1-14.1
	运行在以下环境
	系统	redhat_7	golang	*		Up to (excluding) 1.6.3-1.el7_2.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	golang-1.6	*		Up to (excluding) 1.6.1-0ubuntu1