偵測

Golang 1.26.x < 1.26.1 多個弱點

medium Nessus Plugin ID 301251

語言:

概要

遠端主機上安裝的應用程式受到多個弱點影響。

說明

遠端主機上執行的 Golang 版本為 1.26.1 之前的版本。因此會受到公告中提及的多個弱點影響。

 - 驗證包含多個電子郵件地址限制 (由完整電子郵件地址組成) 的憑證鏈這些共用本機部分 ('@' 字元前的地址部分) 卻不同的網域部分 (如字元後置位)則係統不會正確套用這些限製而只會考慮最後一個限制。這可允許鏈結中包含電子郵件地址的憑證透過對 Certificate.Verify 的呼叫傳回相關限制不允許或排除的憑證。由於名稱限制檢查會在鏈結構建完成後發生因此這僅適用於鏈結至受信任根 (在 VerifyOptions.Roots 或系統 root 憑證集區中的 root 憑證) 的憑證鏈進而需要受信任的 CA 發出包含未允許或排除的電子郵件地址。 (CVE-2026-27137)

 - 當鏈結中某個憑證的 DNS 名稱為空且鏈結中另一個憑證已排除名稱限制時憑證驗證可能發生錯誤。這可導致直接驗證 X.509 憑證鍊或使用 TLS 的程式損毀。由於名稱限制檢查會在鏈結構建完成後發生因此這僅適用於鏈結至受信任根 (在 VerifyOptions.Roots 或系統 root 憑證集區中的根憑證) 的憑證鏈進而需要受信任的 CA 以核發包含格式錯誤之 DNS 的憑證名稱。 (CVE-2026-27138)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Golang Go 1.26.1 或更新版本。

另請參閱

https://github.com/golang/go/issues/77952

https://github.com/golang/go/issues/77953

https://groups.google.com/g/golang-announce/c/EdhZqrQ98hk

Plugin 詳細資訊

嚴重性: Medium

ID: 301251

檔案名稱: golang_1_26_1.nasl

版本: 1.1

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/3/6

已更新: 2026/3/6

支援的感應器: Nessus Agent, Nessus

風險資訊

CVSS 評分論據: Score based on an in-depth analysis by tenable.

VPR

風險因素: Medium

分數: 4.4

CVSS v3

風險因素: Medium

基本分數: 5.9

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

弱點資訊

CPE: cpe:/a:golang:go

必要的 KB 項目: installed_sw/Golang Go Programming Language

修補程式發佈日期: 2026/3/5

弱點發布日期: 2026/2/26

參考資訊

CVE: CVE-2026-27137, CVE-2026-27138