漏洞标题
N/A
漏洞描述信息
在 Go 1.10.6 和 1.11.x 之前版本中,当使用 -u 标志执行恶意的 Go 包的导入路径时,“go get”命令有可能会被远程代码执行。具体来说,只有在 GOPATH 模式下才存在这种风险,而在模块模式下则没有风险(此区别可以在 https://golang.org/cmd/go/#hdr-Module_aware_go_get 上记录)。通过使用自定义域名,可以通过一个带有 /.git 结尾的 vanity 导入路径将 Git 仓库克隆到名为“.git”的文件夹中。如果 Git 仓库根目录包含一个“HEAD”文件、一个“config”文件、一个“objects”目录和一个“refs”目录,并经过一些工作确保操作的正确顺序,那么“go get -u”可能会被欺骗,将父目录视为仓库根目录,并在其中运行 Git 命令。这将使用原始 Git 仓库根目录中的“config”文件进行配置,如果该“config”文件包含恶意命令,则会在运行“go get -u”的系统中执行。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Go before 1.10.6 and 1.11.x before 1.11.3, the "go get" command is vulnerable to remote code execution when executed with the -u flag and the import path of a malicious Go package, or a package that imports it directly or indirectly. Specifically, it is only vulnerable in GOPATH mode, but not in module mode (the distinction is documented at https://golang.org/cmd/go/#hdr-Module_aware_go_get). Using custom domains, it's possible to arrange things so that a Git repository is cloned to a folder named ".git" by using a vanity import path that ends with "/.git". If the Git repository root contains a "HEAD" file, a "config" file, an "objects" directory, a "refs" directory, with some work to ensure the proper ordering of operations, "go get -u" can be tricked into considering the parent directory as a repository root, and running Git commands on it. That will use the "config" file in the original Git repository root for its configuration, and if that config file contains malicious commands, they will execute on the system running "go get -u".
CVSS信息
N/A
漏洞类别
输入验证不恰当
漏洞标题
Google Go 安全漏洞
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种针对多处理器系统应用程序的编程进行了优化的编程语言。 Google Go 1.10.6之前版本和1.11.3之前的1.11.x版本(GOPATH模式)中的‘go get’命令存在远程代码执行漏洞。远程攻击者可利用该漏洞执行恶意的命令。
CVSS信息
N/A
漏洞类别
输入验证错误