Исходное сообщение
"Уязвимости в системе загрузки модулей для языка Go" Отправлено opennews, 15-Дек-18 13:11
В реализации команды "go get (https://golang.org/pkg/cmd/go/internal/get/)", предоставляемой штатным интерфейсом командой строки для языка Go и используемой для загрузки пакетов и связанных с ними зависимоcтей, выявлено несколько уязвимостей (https://seclists.org/oss-sec/2018/q4/254), позволяющих выполнить код при обработке специально оформленных пакетов, подготовленных злоумышленниками. Проблемы устранены в корректирующих выпусках Go 1.11.3 и 1.10.6. Первая уязвимость (https://golang.org/issue/29230.)  (CVE-2018-16873 (https://security-tracker.debian.org/tracker/CVE-2018-16873)) проявляется при выполнении команды "go get -u" и прямом импорте модулей  в режиме GOPATH. Атака сводится к созданию в модуле импортируемых путей, заканчивающихся на "/.git", которые воспринимаются при вызове "go get -u" как корень репозитория с последующим выполнением в нём команд git. Выполнение кода организуется через размещение вредоносных команд в прикреплённом к репозиторию файле конфигурации git; Вторая уязвимость (https://golang.org/issue/29231) (CVE-2018-16874 (https://security-tracker.debian.org/tracker/CVE-2018-16874)) позволяет при выполнении команды "go get" выйти за пределы определённого для модуля корневого пути, через манипуляцию с фигурными скобками в импортируемых путях. Проблема проявляется только в режиме GOPATH и не затрагивает появившийся в Go 1.11 (https://www.opennet.ru/opennews/art.shtml?num=49183) экспериментальный режим модулей (https://golang.org/cmd/go/#hdr-Module_aware_go_get). При помощи данной уязвимости атакующий может перезаписать произвольные файл в ФС, насколько это позволяют текущие полномочия. URL: https://seclists.org/oss-sec/2018/q4/254 Новость: https://www.opennet.ru/opennews/art.shtml?num=49787