現已提供適用於 Red Hat Enterprise Linux 7 的 golang 更新。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

golang 套件提供 Go 程式設計語言編譯器。

下列套件已升級至更新的上游版本：
golang (1.6.3)。(BZ#1346331)

安全性修正：

* 在內建於 CGI 實作的 Go 程式設計語言中發現一個輸入驗證瑕疵，其使用傳入的「Proxy」HTTP 要求標頭設定環境變數「HTTP_PROXY」。
數個 Web 用戶端使用環境變數「HTTP_PROXY」(包括 Go 的 net/http 套件)　指定要用於 HTTP (某些情況下為 HTTPS 要求) 的代理伺服器。這表示 CGI 型 Web 應用程式執行時，攻擊者可指定代理伺服器，接著應用程式會使用這個代理伺服器發出後續傳出要求，進而允許攔截式攻擊。(CVE-2016-5386)

Red Hat 要感謝 Scott Geary (VendHQ) 報告此問題。

此 go 更新可修正下列問題：

- CVE-2015-5739：「Content Length」被視為有效標頭

- CVE-2015-5740：雙重 content-length 標頭不會傳回 400 錯誤

- CVE-2015-5741：額外強化，不傳送 Content-Length 和 Transfer-Encoding、關閉連線

Go 已更新至 1.4.3 版，包含下列額外變更：

- build：從 cmd/dist 移除 -Werror

- runtime：存取附加至未初始化配量的空結構值時發生錯誤

- runtime：記憶體回收行程發現反覆使用對應的無效堆積指標

net/http smuggling 走私的安全性修正

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

golang-1.5.1-0.fc21 - go1.5.1 的更新 golang-1.5.1-0.fc22 - go1.5.1 的更新 golang-1.5.1-0.el6 - go1.5.1 的更新 golang-1.5.1-0.fc23
- go1.5.1 的更新 ---- bz1258166 移除 srpm 巨集，適用於 go-srpm-macros ---- go1.5 的更新；x86_64 的共用物件；gdb 修正；完整 http 走私修正；測試的修正 ---- bz1258166 移除 srpm 巨集，適用於 go-srpm-macros

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Go 產品經理 Jason Buberel 報告：

CVE-2015-5739 -「Content Length」被視為有效標頭

CVE-2015-5740 - 雙重 content-length 標頭不會傳回 400 錯誤

CVE-2015-5741 - 額外強化，不傳送 Content-Length w/Transfer-Encoding、關閉連線

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 在 Go 1.4.3 之前版本中net/textproto/reader.go 的 net/http 程式庫未正確剖析 HTTP 標頭金鑰其允許遠端攻擊者透過空格而非連字號發動 HTTP 要求走私攻擊內容長度即為一例而不是 Content-Length。 (CVE-2015-5739)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

如上游 -- 這裡和這裡 -- 所述，Go 專案收到通知，指出 net/http 程式庫中有一個 HTTP 要求走私弱點。會將無效標頭視為有效標頭進行剖析 (如中間有空格的「Content Length:」)，而要求中的兩個 Content-length 標頭未產生 400 錯誤，第二個 Content-length 會遭到忽略。

golang-1.5.1-0.fc21 - go1.5.1 的更新 golang-1.5.1-0.fc22 - go1.5.1 的更新 golang-1.5.1-0.el6 - go1.5.1 的更新 golang-1.5.1-0.fc23
- go1.5.1 的更新 ---- go1.5 的更新；x86_64 的共用物件；
gdb 修正；完整 http 走私修正；測試的修正

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	產品	系列	已發布	已更新	嚴重性
92693	RHEL 7︰golang (RHSA-2016:1538)	Nessus	Red Hat Local Security Checks	2016/8/3	2019/10/24	critical
92596	openSUSE 安全性更新：go (openSUSE-2016-907)	Nessus	SuSE Local Security Checks	2016/7/28	2021/1/19	critical
85476	Fedora 22：golang-1.4.2-3.fc22 (2015-13002)	Nessus	Fedora Local Security Checks	2015/8/18	2021/1/11	critical
85471	Fedora 21：golang-1.4.2-3.fc21 (2015-12957)	Nessus	Fedora Local Security Checks	2015/8/18	2021/1/11	critical
86232	Fedora 22：golang-1.5.1-0.fc22 (2015-15619)	Nessus	Fedora Local Security Checks	2015/10/2	2021/1/11	critical
85641	FreeBSD：go -- 多個弱點 (4464212e-4acd-11e5-934b-002590263bf5)	Nessus	FreeBSD Local Security Checks	2015/8/26	2021/1/6	critical
261088	Linux Distros 未修補的弱點：CVE-2015-5739	Nessus	Misc.	2025/9/3	2025/9/14	critical
85633	Amazon Linux AMI：golang / docker (ALAS-2015-588)	Nessus	Amazon Linux Local Security Checks	2015/8/26	2018/11/19	critical
86231	Fedora 21：golang-1.5.1-0.fc21 (2015-15618)	Nessus	Fedora Local Security Checks	2015/10/2	2021/1/11	critical
92680	CentOS 7：golang (CESA-2016:1538)	Nessus	CentOS Local Security Checks	2016/8/3	2021/1/4	critical

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical