偵測

Linux Distros 未修補的弱點:CVE-2026-42501

medium Nessus Plugin ID 313248

語言:

概要

Linux/Unix 主機上安裝的一個或多個套件存有弱點,廠商表示將不會修補。

說明

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且供應商未提供可用的修補程式。

 - 惡意模組 Proxy 可利用 go 命令驗證模組總和檢查碼中的缺陷來繞過總和檢查碼資料庫驗證。此弱點會影響使用不受信任模組 Proxy (GOMODPROXY) 或總和檢查碼資料庫 (GOSUMDB) 的任何使用者。惡意模組代理可以提供 Go 工具鏈的更改版本。當選擇與目前安裝的工具鏈不同的 Go 工具鏈版本時(由於 GOTOOLCHAIN 環境變數,或帶有工具鏈行的 go.work 或 go.mod),go 命令將下載並執行模組代理提供的工具鏈。惡意模組 Proxy 可以繞過此下載工具鏈的總和檢查碼資料庫驗證。由於此漏洞會影響工具鏈下載的安全性,因此將 GOTOOLCHAIN 設定為固定版本是不夠的。您必須升級您的基本 Go 工具鏈。go 工具總是在執行工具鏈之前驗證工具鏈的雜湊值,因此修正版本將拒絕執行工具鏈的任何快取、更改版本。go 工具信任 go.sum 檔案來包含目前模組相依性的準確雜湊。惡意 Proxy 利用此弱點為更改的模組提供服務,會導致在 go.sum 中記錄不正確的雜湊。已配置非受信任 GOPROXY 的使用者可以判斷他們是否受到執行 rm go.sum 的影響;去整潔;go mod verify,這將重新驗證目前模組的所有依賴項。具體缺陷更詳細:當模組未在 go.sum 檔案中列出時,go 命令會查閱總和檢查碼資料庫以驗證下載的模組。它會驗證總和檢查碼資料庫報告的模組雜湊是否與下載模組的雜湊相符。不過,如果總和檢查碼資料庫傳回不包含模組項目的成功回應,則 go 指令會錯誤地允許驗證成功。模組代理可以鏡像或代理總和檢查碼資料庫,在這種情況下,go命令將不會直接連接到總和檢查碼資料庫。總和檢查碼資料庫所報告的總和檢查碼會以密碼編譯方式簽署,因此惡意 Proxy 無法變更模組所報告的總和檢查碼。不過,傳回空總和檢查碼回應或不相關模組的總和檢查碼回應的 Proxy 可能會導致 go 指令繼續進行,就像已驗證下載的模組一樣。
 (CVE-2026-42501)

請注意,Nessus 依賴供應商報告的套件存在。

解決方案

目前尚未有已知的解決方案。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2026-42501

Plugin 詳細資訊

嚴重性: Medium

ID: 313248

檔案名稱: unpatched_CVE_2026_42501.nasl

版本: 1.1

類型: Local

代理程式: unix

系列: Misc.

已發布: 2026/5/8

已更新: 2026/5/8

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 8.0

CVSS v2

風險因素: Medium

基本分數: 6.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:H/Au:S/C:C/I:P/A:C

CVSS 評分資料來源: CVE-2026-42501

CVSS v3

風險因素: Medium

基本分數: 6.2

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L

時間媒介: CVSS:3.0/E:U/RL:U/RC:C

弱點資訊

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:golang-1.26, p-cpe:/a:debian:debian_linux:golang-1.15, p-cpe:/a:debian:debian_linux:golang-1.25, cpe:/o:debian:debian_linux:14.0, p-cpe:/a:debian:debian_linux:golang-1.19, p-cpe:/a:debian:debian_linux:golang-1.24, cpe:/o:debian:debian_linux:12.0, cpe:/o:debian:debian_linux:13.0

必要的 KB 項目: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

可輕鬆利用: No known exploits are available

弱點發布日期: 2026/5/7

參考資訊

CVE: CVE-2026-42501