Описание уязвимости | Уязвимость криптографических функций библиотеки средства разработки GoLang прикладного программного обеспечения Аврора Центр связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании |
Вендор | Fedora Project, ООО «Открытая мобильная платформа», The Go Project |
Наименование ПО | Fedora, Аврора Центр (запись в едином реестре российских программ №6875), Go |
Версия ПО | 32 (Fedora), 33 (Fedora), от 2.1.3 до 2.5.0 включительно (Аврора Центр), до 1.14.12 (Go), от 1.15 до 1.15.5 (Go) |
Тип ПО | Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Неправильное подтверждение подлинности сертификата |
Идентификатор типа ошибки | CWE-295 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 25.05.2021 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
Возможные меры по устранению уязвимости |
Использовать следующие компенсирующие меры:
Использование СЗИ с возможностью настройки белых/черных списков, для ограничения доступа к прикладному программному обеспечению Аврора Центр Для Go: https://github.com/golang/go/issues/42552 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/ |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Способ эксплуатации | Данные уточняются |
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://nvd.nist.gov/vuln/detail/CVE-2020-28362
https://github.com/golang/go/issues/42552
https://app.snyk.io/vuln/SNYK-DEBIAN11-GOLANG115-1040406
https://groups.google.com/g/golang-nuts/c/c-ssaaS7RMI
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |