Golang 1.24.x < 1.24.8 / 1.25.x < 1.25.2 多個弱點 (qZN5nc-mBgAJ)

high Nessus Plugin ID 271201

語言:

概要

遠端主機上安裝的應用程式受到多個弱點影響。

說明

遠端主機上執行的 Golang 版本為比 1.24.x 舊的 1.24.8或比 1.25.x 舊的 1.25.2。因此會受到 qZN5nc-mBgAJ 公告中所提及的多個弱點影響。

- Parse 函式允許將 IPv6 位址以外的值包含在 URL 主機元件的方括弧中。RFC 3986 允許將 IPv6 位址包含在主機元件內並用方括弧括起來。例如「http://[::1]/」。IPv4 位址和主機名稱不得出現在方括弧內。Parse 並未強制執行此需求。 (CVE-2025-47912)

- tar.Reader 並未在 GNU tar pax 1.0 sparse 檔案中的疏鬆區域資料區塊數上設定大小上限。包含大量疏鬆區域的惡意特製封存可造成 Reader 將無限量的資料從封存讀取到記憶體中。從壓縮來源讀取時小型的壓縮輸入可導致大型配置。 (CVE-2025-58183)

- 驗證包含 DSA 公開金鑰的憑證鏈可能導致程式發生錯誤這是因為介面轉換假設其實作 Equal 方法所致。這會影響驗證任意憑證鏈的程式。 (CVE-2025-58188)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。