Golang-fips: golang fips zeroed buffer 漏洞信息(CVE-2024-9355)

一、漏洞 CVE-2024-9355 基础信息

漏洞标题

Golang-fips软件零化缓冲区漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在Golang FIPS OpenSSL中发现了一个漏洞。此漏洞允许恶意用户在FIPS模式下随机导致未初始化的缓冲区长度变量与清零的缓冲区一起返回。如果攻击者可以发送清零的缓冲区来代替预计算的求和值，那么在比较可信的计算出的HMAC求和值与不可信的输入求和值时，也可能导致非等哈希值之间的假阳性匹配。另外，还可能迫使派生密钥全部为零而不是一个不可预测的值。这可能会对Go TLS堆栈产生进一步的影响。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

对未经初始化资源的使用

来源：AIGC 神龙大模型

漏洞标题

Golang-fips: golang fips zeroed buffer

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was found in Golang FIPS OpenSSL. This flaw allows a malicious user to randomly cause an uninitialized buffer length variable with a zeroed buffer to be returned in FIPS mode. It may also be possible to force a false positive match between non-equal hashes when comparing a trusted computed hmac sum to an untrusted input sum if an attacker can send a zeroed buffer in place of a pre-computed sum. It is also possible to force a derived key to be all zeros instead of an unpredictable value. This may have follow-on implications for the Go TLS stack.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

使用未经初始化的变量

来源：美国国家漏洞数据库 NVD

漏洞标题

Google Golang 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。 Google Golang存在安全漏洞，该漏洞源于允许恶意用户在FIPS模式下随机导致未初始化的缓冲区长度变量与零缓

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-9355 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-9355 的情报信息

标题： CVE-2024-9355 - Red Hat Customer Portal -- 🔗来源链接

标签： vdb-entry x_refsource_REDHAT
神龙速读
标题： 2315719 – (CVE-2024-9355) CVE-2024-9355 golang-fips: Golang FIPS zeroed buffer -- 🔗来源链接

标签： issue-tracking x_refsource_REDHAT
神龙速读
标题： RHSA-2024:7502 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:7550 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:8327 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:8678 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:8847 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2024:9551 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
标题： RHSA-2025:2416 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
标题： RHSA-2024:10133 - Security Advisory - Red Hat Customer Portal -- 🔗来源链接

标签： vendor-advisory x_refsource_REDHAT
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-9355