wid-sec-w-2023-2280
Vulnerability from csaf_certbund
Published
2023-09-06 22:00
Modified
2024-05-30 22:00
Summary
Golang Go: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Go ist eine quelloffene Programmiersprache.
Angriff
Ein Angreifer kann mehrere Schwachstellen in Golang Go ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, Code auszuführen oder einen Denial of Service zu verursachen.
Betroffene Betriebssysteme
- Linux
- Sonstiges
- UNIX
- Windows
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Go ist eine quelloffene Programmiersprache.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein Angreifer kann mehrere Schwachstellen in Golang Go ausnutzen, um einen Cross-Site Scripting Angriff durchzuf\u00fchren, Code auszuf\u00fchren oder einen Denial of Service zu verursachen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-2280 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2280.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-2280 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2280"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7763 vom 2023-12-13",
"url": "https://access.redhat.com/errata/RHSA-2023:7763"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7766 vom 2023-12-13",
"url": "https://access.redhat.com/errata/RHSA-2023:7766"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7765 vom 2023-12-13",
"url": "https://access.redhat.com/errata/RHSA-2023:7765"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7762 vom 2023-12-13",
"url": "https://access.redhat.com/errata/RHSA-2023:7762"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7764 vom 2023-12-13",
"url": "https://access.redhat.com/errata/RHSA-2023:7764"
},
{
"category": "external",
"summary": "Ubuntu Security Notice USN-6574-1 vom 2024-01-11",
"url": "https://ubuntu.com/security/notices/USN-6574-1"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:0121 vom 2024-01-10",
"url": "https://access.redhat.com/errata/RHSA-2024:0121"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2023-7765 vom 2023-12-14",
"url": "https://linux.oracle.com/errata/ELSA-2023-7765.html"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2023-7763 vom 2023-12-14",
"url": "https://linux.oracle.com/errata/ELSA-2023-7763.html"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2023-7766 vom 2023-12-14",
"url": "https://linux.oracle.com/errata/ELSA-2023-7766.html"
},
{
"category": "external",
"summary": "Golang Announce vom 2023-09-06",
"url": "https://groups.google.com/g/golang-announce/c/Fm51GRLNRvM"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2023:3701-1 vom 2023-09-20",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2023-September/016236.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2023:3700-1 vom 2023-09-20",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2023-September/016237.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2023:3840-1 vom 2023-09-27",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2023-September/016353.html"
},
{
"category": "external",
"summary": "XEROX Security Advisory XRX24-004 vom 2024-03-04",
"url": "https://security.business.xerox.com/wp-content/uploads/2024/03/Xerox%C2%AE-Security-Bulletin-XRX24-004-Xerox%C2%AE-FreeFlow%C2%AE-Print-Server-v7.pdf"
},
{
"category": "external",
"summary": "XEROX Security Advisory XRX24-005 vom 2024-03-04",
"url": "https://security.business.xerox.com/wp-content/uploads/2024/03/Xerox-Security-Bulletin-XRX24-005-Xerox-FreeFlow%C2%AE-Print-Server-v9_Feb-2024.pdf"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:5974 vom 2023-10-21",
"url": "https://access.redhat.com/errata/RHSA-2023:5974"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6031 vom 2023-10-24",
"url": "https://access.redhat.com/errata/RHSA-2023:6031"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6119 vom 2023-10-26",
"url": "https://access.redhat.com/errata/RHSA-2023:6119"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6122 vom 2023-10-26",
"url": "https://access.redhat.com/errata/RHSA-2023:6122"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6115 vom 2023-10-26",
"url": "https://access.redhat.com/errata/RHSA-2023:6115"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6145 vom 2023-10-27",
"url": "https://access.redhat.com/errata/RHSA-2023:6145"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:5947 vom 2023-10-26",
"url": "https://access.redhat.com/errata/RHSA-2023:5947"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6148 vom 2023-10-27",
"url": "https://access.redhat.com/errata/RHSA-2023:6148"
},
{
"category": "external",
"summary": "Fedora Security Advisory FEDORA-EPEL-2023-B951076A0F vom 2023-10-27",
"url": "https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2023-b951076a0f"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6161 vom 2023-10-30",
"url": "https://access.redhat.com/errata/RHSA-2023:6161"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6202 vom 2023-10-31",
"url": "https://access.redhat.com/errata/RHSA-2023:6202"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6200 vom 2023-10-31",
"url": "https://access.redhat.com/errata/RHSA-2023:6200"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:5009 vom 2023-11-01",
"url": "https://access.redhat.com/errata/RHSA-2023:5009"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:6154 vom 2023-11-01",
"url": "https://access.redhat.com/errata/RHSA-2023:6154"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2023:4469-1 vom 2023-11-16",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2023-November/017050.html"
},
{
"category": "external",
"summary": "Fedora Security Advisory FEDORA-EPEL-2023-1C906D04EE vom 2023-11-24",
"url": "https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2023-1c906d04ee"
},
{
"category": "external",
"summary": "Gentoo Linux Security Advisory GLSA-202311-09 vom 2023-11-25",
"url": "https://security.gentoo.org/glsa/202311-09"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:7517 vom 2023-11-28",
"url": "https://access.redhat.com/errata/RHSA-2023:7517"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:1901 vom 2024-04-18",
"url": "https://access.redhat.com/errata/RHSA-2024:1901"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2024-2098 vom 2024-04-30",
"url": "https://linux.oracle.com/errata/ELSA-2024-2098.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:2160 vom 2024-04-30",
"url": "https://access.redhat.com/errata/RHSA-2024:2160"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:2988 vom 2024-05-22",
"url": "https://access.redhat.com/errata/RHSA-2024:2988"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:3352 vom 2024-05-23",
"url": "https://access.redhat.com/errata/RHSA-2024:3352"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2024-2988 vom 2024-05-28",
"url": "https://linux.oracle.com/errata/ELSA-2024-2988.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:3467 vom 2024-05-29",
"url": "https://access.redhat.com/errata/RHSA-2024:3467"
}
],
"source_lang": "en-US",
"title": "Golang Go: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-05-30T22:00:00.000+00:00",
"generator": {
"date": "2024-05-31T09:08:14.234+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.0"
}
},
"id": "WID-SEC-W-2023-2280",
"initial_release_date": "2023-09-06T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-09-06T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-09-20T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2023-09-27T22:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2023-10-22T22:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-10-23T22:00:00.000+00:00",
"number": "5",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-10-25T22:00:00.000+00:00",
"number": "6",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-10-26T22:00:00.000+00:00",
"number": "7",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-10-29T23:00:00.000+00:00",
"number": "8",
"summary": "Neue Updates von Fedora aufgenommen"
},
{
"date": "2023-10-30T23:00:00.000+00:00",
"number": "9",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-10-31T23:00:00.000+00:00",
"number": "10",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-11-16T23:00:00.000+00:00",
"number": "11",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2023-11-23T23:00:00.000+00:00",
"number": "12",
"summary": "Neue Updates von Fedora aufgenommen"
},
{
"date": "2023-11-26T23:00:00.000+00:00",
"number": "13",
"summary": "Neue Updates von Gentoo aufgenommen"
},
{
"date": "2023-11-27T23:00:00.000+00:00",
"number": "14",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-12-12T23:00:00.000+00:00",
"number": "15",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-12-14T23:00:00.000+00:00",
"number": "16",
"summary": "Neue Updates von Oracle Linux aufgenommen"
},
{
"date": "2024-01-10T23:00:00.000+00:00",
"number": "17",
"summary": "Neue Updates von Ubuntu und Red Hat aufgenommen"
},
{
"date": "2024-03-03T23:00:00.000+00:00",
"number": "18",
"summary": "Neue Updates von XEROX aufgenommen"
},
{
"date": "2024-04-17T22:00:00.000+00:00",
"number": "19",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-04-29T22:00:00.000+00:00",
"number": "20",
"summary": "Neue Updates von Oracle Linux aufgenommen"
},
{
"date": "2024-05-21T22:00:00.000+00:00",
"number": "21",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-05-23T22:00:00.000+00:00",
"number": "22",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2024-05-28T22:00:00.000+00:00",
"number": "23",
"summary": "Neue Updates von Oracle Linux aufgenommen"
},
{
"date": "2024-05-30T22:00:00.000+00:00",
"number": "24",
"summary": "Neue Updates von Red Hat aufgenommen"
}
],
"status": "final",
"version": "24"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Fedora Linux",
"product": {
"name": "Fedora Linux",
"product_id": "74185",
"product_identification_helper": {
"cpe": "cpe:/o:fedoraproject:fedora:-"
}
}
}
],
"category": "vendor",
"name": "Fedora"
},
{
"branches": [
{
"category": "product_name",
"name": "Gentoo Linux",
"product": {
"name": "Gentoo Linux",
"product_id": "T012167",
"product_identification_helper": {
"cpe": "cpe:/o:gentoo:linux:-"
}
}
}
],
"category": "vendor",
"name": "Gentoo"
},
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c1.21.1",
"product": {
"name": "Golang Go \u003c1.21.1",
"product_id": "T029752",
"product_identification_helper": {
"cpe": "cpe:/a:golang:go:1.21.1"
}
}
},
{
"category": "product_version_range",
"name": "\u003c1.20.8",
"product": {
"name": "Golang Go \u003c1.20.8",
"product_id": "T029753",
"product_identification_helper": {
"cpe": "cpe:/a:golang:go:1.20.8"
}
}
}
],
"category": "product_name",
"name": "Go"
}
],
"category": "vendor",
"name": "Golang"
},
{
"branches": [
{
"category": "product_name",
"name": "Oracle Linux",
"product": {
"name": "Oracle Linux",
"product_id": "T004914",
"product_identification_helper": {
"cpe": "cpe:/o:oracle:linux:-"
}
}
}
],
"category": "vendor",
"name": "Oracle"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
},
{
"branches": [
{
"category": "product_version",
"name": "16.2",
"product": {
"name": "Red Hat OpenStack 16.2",
"product_id": "T023999",
"product_identification_helper": {
"cpe": "cpe:/a:redhat:openstack:16.2"
}
}
}
],
"category": "product_name",
"name": "OpenStack"
}
],
"category": "vendor",
"name": "Red Hat"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux",
"product": {
"name": "SUSE Linux",
"product_id": "T002207",
"product_identification_helper": {
"cpe": "cpe:/o:suse:suse_linux:-"
}
}
}
],
"category": "vendor",
"name": "SUSE"
},
{
"branches": [
{
"category": "product_name",
"name": "Ubuntu Linux",
"product": {
"name": "Ubuntu Linux",
"product_id": "T000126",
"product_identification_helper": {
"cpe": "cpe:/o:canonical:ubuntu_linux:-"
}
}
}
],
"category": "vendor",
"name": "Ubuntu"
},
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "v7",
"product": {
"name": "Xerox FreeFlow Print Server v7",
"product_id": "T015631",
"product_identification_helper": {
"cpe": "cpe:/a:xerox:freeflow_print_server:v7"
}
}
},
{
"category": "product_version",
"name": "v9",
"product": {
"name": "Xerox FreeFlow Print Server v9",
"product_id": "T015632",
"product_identification_helper": {
"cpe": "cpe:/a:xerox:freeflow_print_server:v9"
}
}
}
],
"category": "product_name",
"name": "FreeFlow Print Server"
}
],
"category": "vendor",
"name": "Xerox"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-39318",
"notes": [
{
"category": "description",
"text": "In Golang Go existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden im html/template Package nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T023999",
"T002207",
"67646",
"T000126",
"T015632",
"T012167",
"T015631",
"T004914",
"74185"
]
},
"release_date": "2023-09-06T22:00:00Z",
"title": "CVE-2023-39318"
},
{
"cve": "CVE-2023-39319",
"notes": [
{
"category": "description",
"text": "In Golang Go existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden im html/template Package nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter, anonymer Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T023999",
"T002207",
"67646",
"T000126",
"T015632",
"T012167",
"T015631",
"T004914",
"74185"
]
},
"release_date": "2023-09-06T22:00:00Z",
"title": "CVE-2023-39319"
},
{
"cve": "CVE-2023-39320",
"notes": [
{
"category": "description",
"text": "Es existiert eine Schwachstelle in Golang Go. Ein Angreifer kann diese Schwachstelle ausnutzen, um Skripte und Bin\u00e4rdateien relativ zur Wurzel des Moduls auszuf\u00fchren, wenn der \"go\"-Befehl innerhalb des Moduls ausgef\u00fchrt wird. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T023999",
"T002207",
"67646",
"T000126",
"T015632",
"T012167",
"T015631",
"T004914",
"74185"
]
},
"release_date": "2023-09-06T22:00:00Z",
"title": "CVE-2023-39320"
},
{
"cve": "CVE-2023-39321",
"notes": [
{
"category": "description",
"text": "In Golang Go existieren mehrere Schwachstellen. Die Verarbeitung einer unvollst\u00e4ndigen Post-Handshake-Nachricht f\u00fcr eine QUIC-Verbindung f\u00fchrt zu einer Fehlfunktion. Ein Angreifer kann diese Schwachstellen ausnutzen, um einen Denial of Service zu verursachen."
}
],
"product_status": {
"known_affected": [
"T023999",
"T002207",
"67646",
"T000126",
"T015632",
"T012167",
"T015631",
"T004914",
"74185"
]
},
"release_date": "2023-09-06T22:00:00Z",
"title": "CVE-2023-39321"
},
{
"cve": "CVE-2023-39322",
"notes": [
{
"category": "description",
"text": "In Golang Go existieren mehrere Schwachstellen. Die Verarbeitung einer unvollst\u00e4ndigen Post-Handshake-Nachricht f\u00fcr eine QUIC-Verbindung f\u00fchrt zu einer Fehlfunktion. Ein Angreifer kann diese Schwachstellen ausnutzen, um einen Denial of Service zu verursachen."
}
],
"product_status": {
"known_affected": [
"T023999",
"T002207",
"67646",
"T000126",
"T015632",
"T012167",
"T015631",
"T004914",
"74185"
]
},
"release_date": "2023-09-06T22:00:00Z",
"title": "CVE-2023-39322"
}
]
}
Loading...