遠端主機上安裝的 golang 版本早於 1.22.3-1。因此，會受到 ALAS2-2024-2554 公告中所提及的多個弱點影響。

    攻擊者可透過傳送過量的 CONTINUATION 框架，造成 HTTP/2 端點讀取任意數量的標頭資料。系統需要剖析並處理連線上的所有 HEADERS 和 CONTINUATION 框架才能維持 HPACK 狀態。若要求的標頭超過 MaxHeaderBytes，系統不會配置記憶體來儲存多餘的標頭，但仍會剖析這些標頭。這允許攻擊者造成 HTTP/2 端點讀取任意數量的標頭資料，所有資料都與即將遭到拒絕的要求相關。這些標頭可能包含經過 Huffman 編碼的資料，接收者解碼這些資料的成本遠高於攻擊者傳送的成本。此修正會針對我們在關閉連線之前需要處理的多餘標頭框架設定數量限制。(CVE-2023-45288)

    跟隨 HTTP 重新導向至不符合子網域的網域或不完全符合初始網域的網域時，http.Client 不會轉送敏感標頭，例如 Authorization 或 Cookie。例如，從 foo.com 重新導向至 www.foo.com 會轉送授權標頭，但重新導向至 bar.com 則不會。惡意的特質 HTTP 重新導向可導致意外轉送敏感標頭。(CVE-2023-45289)

    剖析多部分表單時 (使用 Request.ParseMultipartForm 明確，或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隱含)，對剖析表單總大小的限制未套用至讀取單一表單時所消耗的記憶體表單行。此動作會允許含有極長行的惡意特製輸入造成配置任意大量記憶體，進而可能導致記憶體耗盡。透過修正，ParseMultipartForm 函式現在會正確限製表單行的大小上限。(CVE-2023-45290)

    使用不明公用金鑰算法驗證含有憑證的憑證鏈時，會造成 Certificate.Verify 發生錯誤。這會影響所有 crypto/tls 用戶端，以及將 Config.ClientAuth 設為 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的伺服器。TLS 伺服器的預設行為是不驗證用戶端憑證。(CVE-2024-24783)

    ParseAddressList 函式未正確處理顯示名稱內的註解 (括號內的文字)。
    由於此操作不符合一致性位址剖析器的要求，或會導致使用不同剖析器的程式做出不同的信任決策。(CVE-2024-24784)

    如果從 MarshalJSON 方法傳回的錯誤包含使用者控制的資料，這些錯誤可用來中斷 html/template 套件的內容相關自動逸出行為，進而允許後續動作將未預期的內容插入範本。(CVE-2024-24785)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Amazon Linux 2：golang (ALAS-2024-2554)

high Nessus Plugin ID 198253

版本 1.3

版本 1.2

版本 1.1

版本 1.3 Aug 6, 2024, 7:05 AM CVSS metrics ("CVSSv3 score" set to 7.5) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N") CVSSv3 score source (set to "CVE-2024-24784") CVSSv3 severity (based on CVE-2024-24784, severity increased from "Medium" to "High") Plugin Feed: 202408060705
版本 1.2 Jun 3, 2024, 7:09 AM Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202406030709
版本 1.1 Jun 1, 2024, 5:45 AM New Plugin Feed: 202406010545