点击上方蓝字关注我们!
近日,嘉诚安全监测到CNNVD官方发布了Google Golang多个漏洞的安全风险通告,漏洞编号为:CNNVD-202210-124(CVE-2022-2880)、CNNVD-202210-126(CVE-2022-2879)。
Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础,采取类似模型的其他语言包括Occam和Limbo,但它也具有Pi运算的特征,比如通道传输。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快下载补丁进行更新,避免引发漏洞相关的网络安全事件。
CNNVD-202210-124(CVE-2022-2880)
该漏洞源于net/http/httputil:ReverseProxy不应该转发不可解析的查询参数。
CNNVD-202210-126(CVE-2022-2879)
该漏洞源于archive/tar读取头文件时内存消耗不受限制。
通用修复建议:
根据影响版本中的信息,厂商已发布升级补丁以修复漏洞,补丁获取链接:
CNNVD-202210-124(CVE-2022-2880)
https://github.com/golang/go/issues/54663
CNNVD-202210-126(CVE-2022-2879)
https://github.com/golang/go/issues/54853