USN-6038-1: Vulnerabilidades de Go. Se solucionaron varios problemas de seguridad en Go.

• Se descubrió que Go no administraba correctamente la memoria bajo ciertas circunstancias. Un atacante podría usar este problema para causar pánico resultando en una denegación de servicio.
• CVE-2022-1962, CVE-2022-27664, CVE-2022-28131, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32189, CVE-2022-41715, CVE-2022-41717, CVE-2023-24534, CVE-2023-24537.
• Se descubrió que Go no implementó correctamente el tamaño máximo de encabezados de archivos en Reader.Read. Un atacante posiblemente podría usar este problema para provocar un pánico que resulte en una denegación de servicio.
• CVE-2022-2879.
• Se descubrió que el módulo Go net/http manejaba incorrectamente la consulta parámetros en las solicitudes enviadas por ReverseProxy. Un atacante remoto podría posiblemente use este problema para realizar un ataque de contrabando de parámetros de consulta HTTP.
• CVE-2022-2880.
• Se descubrió que Go no validaba correctamente los acentos graves (`) como Delimitadores de cadenas de Javascript y no escape de ellos como se esperaba. Un el atacante posiblemente podría usar este problema para inyectar código Javascript arbitrario en la plantilla Go.
• CVE-2023-24538.
USN-6039-1: Vulnerabilidades de OpenSSL. Se solucionaron varios problemas de seguridad en OpenSSL.
• Se descubrió que OpenSSL no administraba correctamente los bloqueos de archivos cuando restricciones de la política de procesamiento. Si un usuario o un sistema automatizado fueron engañados en el procesamiento de una cadena de certificados con una política especialmente diseñada restricciones, un atacante remoto posiblemente podría usar este problema para causar un negación de servicio.
• CVE-2022-3996.
• OpenSSL no estaba realizando correctamente el verificación de cadenas de certificados X.509 que incluyen restricciones de política, lo que podría conducir a un consumo excesivo de recursos. Si un usuario o automatizado fuera engañados para que procesaran cadenas de certificados X.509 especialmente diseñados que incluyan restricciones de política, un atacante remoto podría posiblemente utilizar este problema para provocar una denegación de servicio.
• CVE-2023-0464.

golang-1.18 - Compilador del lenguaje de programación Go - metapaquete

openssl: biblioteca y herramientas criptográficas de Secure Socket Layer (SSL)

openssl1.0 - Biblioteca y herramientas criptográficas de Secure Socket Layer (SSL)

El problema se puede corregir actualizando los sistemas a las versiones de paquete señaladas por el fabricante en los enlaces de Referencia.

En general, una actualización estándar del sistema hará todos los cambios necesarios.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es