Eine für Golang Go herausgegebene Sicherheitswarnung hat vom BSI ein Update erhalten. Welche Betriebssysteme und Produkte von der Sicherheitslücke betroffen sind, lesen Sie hier auf news.de.
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 25.04.2024 ein Update zu einer am 30.11.2023 bekanntgewordenen Sicherheitslücke für Golang Go veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme Linux, MacOS X und Windows sowie die Produkte Red Hat Ansible Automation Platform, Amazon Linux 2, Red Hat Enterprise Linux, Fedora Linux, Ubuntu Linux, SUSE Linux, Oracle Linux, Red Hat OpenShift, Golang Go, IBM App Connect Enterprise und IBM DataPower Gateway.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Red Hat Security Advisory RHSA-2024:1896 (Stand: 25.04.2024). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für Golang Go - Risiko: mittel
Risikostufe: 3 (mittel)
CVSS Base Score: 7,3
CVSS Temporal Score: 6,4
Remoteangriff: Ja
Zur Bewertung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Der Temporal Score berücksichtigt darüber hinaus zeitliche Veränderungen hinsichtlich der Gefahrenlage. Die Gefährdung der aktuellen Schwachstelle wird nach dem CVSS mit einem Base Score von 7,3 als "mittel" eingestuft.
Golang Go Bug: Mehrere Schwachstellen ermöglichen nicht spezifizierten Angriff
Go ist eine quelloffene Programmiersprache.
Ein Angreifer kann mehrere Schwachstellen in Golang Go ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-39326, CVE-2023-45283 und CVE-2023-45285.
Von der Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
Linux, MacOS X, Windows
Produkte
Red Hat Ansible Automation Platform 2.4 (cpe:/a:redhat:ansible_automation_platform)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Red Hat OpenShift Secondary Scheduler Operator (cpe:/a:redhat:openshift)
Golang Go <1.21.5 (cpe:/a:golang:go)
Golang Go <1.20.12 (cpe:/a:golang:go)
IBM App Connect Enterprise (cpe:/a:ibm:app_connect_enterprise)
Red Hat OpenShift Logging Subsystem <5.8.3 (cpe:/a:redhat:openshift)
IBM DataPower Gateway <10.5.4 (cpe:/a:ibm:datapower_gateway)
IBM DataPower Gateway <10.5.0.10 (cpe:/a:ibm:datapower_gateway)
IBM DataPower Gateway <10.0.1.18 (cpe:/a:ibm:datapower_gateway)
Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.
Hersteller-Informationen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Red Hat Security Advisory RHSA-2024:1896 vom 2024-04-25 (25.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1896
Red Hat Security Advisory RHSA-2024:1901 vom 2024-04-18 (17.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1901
Oracle Linux Security Advisory ELSA-2024-12329 vom 2024-04-17 (16.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12329.html
Oracle Linux Security Advisory ELSA-2024-12328 vom 2024-04-17 (16.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12328.html
Red Hat Security Advisory RHSA-2024:1859 vom 2024-04-16 (16.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1859
Red Hat Security Advisory RHSA-2024:1812 vom 2024-04-15 (14.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1812
Oracle Linux Security Advisory ELSA-2024-12264 vom 2024-04-03 (02.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12264.html
Oracle Linux Security Advisory ELSA-2024-12262 vom 2024-04-03 (02.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12262.html
Oracle Linux Security Advisory ELSA-2024-12261 vom 2024-04-03 (02.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12261.html
Oracle Linux Security Advisory ELSA-2024-12263 vom 2024-04-03 (02.04.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12263.html
Red Hat Security Advisory RHSA-2024:1640 vom 2024-04-02 (02.04.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1640
IBM Security Bulletin 7145581 vom 2024-04-01 (01.04.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7145581
Oracle Linux Security Advisory ELSA-2024-12226 vom 2024-03-20 (20.03.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12226.html
Red Hat Security Advisory RHSA-2024:1434 vom 2024-03-20 (19.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1434
Oracle Linux Security Advisory ELSA-2024-12225 vom 2024-03-19 (19.03.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12225.html
Red Hat Security Advisory RHSA-2024:1433 vom 2024-03-20 (19.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1433
Red Hat Security Advisory RHSA-2024:1244 vom 2024-03-11 (11.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1244
Oracle Linux Security Advisory ELSA-2024-1131 vom 2024-03-07 (07.03.2024)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2024-1131.html
Oracle Linux Security Advisory ELSA-2024-1149 vom 2024-03-07 (07.03.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-1149.html
Fedora Security Advisory FEDORA-EPEL-2024-9B53B79398 vom 2024-03-06 (06.03.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-9b53b79398
Red Hat Security Advisory RHSA-2024:0281 vom 2024-03-06 (06.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0281
IBM Security Bulletin 7129944 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7129944
Amazon Linux Security Advisory ALASECS-2024-035 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASECS-2024-035.html
Red Hat Security Advisory RHSA-2024:1131 vom 2024-03-05 (05.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1131
Amazon Linux Security Advisory ALASNITRO-ENCLAVES-2024-039 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASNITRO-ENCLAVES-2024-039.html
Amazon Linux Security Advisory ALASDOCKER-2024-039 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALASDOCKER-2024-039.html
Red Hat Security Advisory RHSA-2024:1149 vom 2024-03-06 (05.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1149
Oracle Linux Security Advisory ELSA-2024-12191 vom 2024-03-04 (04.03.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12191.html
Oracle Linux Security Advisory ELSA-2024-12190 vom 2024-03-04 (04.03.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-12190.html
Red Hat Security Advisory RHSA-2024:1078 vom 2024-03-05 (04.03.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1078
Red Hat Security Advisory RHSA-2024:1041 vom 2024-02-29 (28.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:1041
Red Hat Security Advisory RHSA-2023:7200 vom 2024-02-28 (27.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:7200
Red Hat Security Advisory RHSA-2024:0269 vom 2024-02-28 (27.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0269
Red Hat Security Advisory RHSA-2023:7198 vom 2024-02-28 (27.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2023:7198
Oracle Linux Security Advisory ELSA-2024-0887 vom 2024-02-23 (22.02.2024)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2024-0887.html
Red Hat Security Advisory RHSA-2024:0887 vom 2024-02-20 (20.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0887
Red Hat Security Advisory RHSA-2024:0880 vom 2024-02-20 (20.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0880
Red Hat Security Advisory RHSA-2024:0843 vom 2024-02-15 (15.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0843
Red Hat Security Advisory RHSA-2024:0748 vom 2024-02-08 (08.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0748
Red Hat Security Advisory RHSA-2024:0728 vom 2024-02-08 (08.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0728
Red Hat Security Advisory RHSA-2024:0695 vom 2024-02-07 (07.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0695
Red Hat Security Advisory RHSA-2024:0694 vom 2024-02-07 (07.02.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0694
Amazon Linux Security Advisory ALAS-2024-2446 vom 2024-02-06 (05.02.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2446.html
Red Hat Security Advisory RHSA-2024:0530 vom 2024-01-25 (25.01.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:0530
Fedora Security Advisory FEDORA-2024-193547DEF8 vom 2024-01-16 (15.01.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2024-193547def8
Ubuntu Security Notice USN-6574-1 vom 2024-01-11 (10.01.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6574-1
Amazon Linux Security Advisory ALAS-2024-2388 vom 2024-01-10 (09.01.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2024-2388.html
Amazon Linux Security Advisory ALAS-2024-1903 vom 2024-01-09 (08.01.2024)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2024-1903.html
SUSE Security Update SUSE-SU-2023:4930-1 vom 2023-12-20 (20.12.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-December/017504.html
SUSE Security Update SUSE-SU-2023:4931-1 vom 2023-12-20 (20.12.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-December/017503.html
SUSE Security Update SUSE-SU-2023:4709-1 vom 2023-12-14 (14.12.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-December/017389.html
SUSE Security Update SUSE-SU-2023:4708-1 vom 2023-12-11 (11.12.2023)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2023-December/017307.html
Security fixes in Go 1.21.5 and Go 1.20.12 releases vom 2023-12-05 (05.12.2023)
Weitere Informationen finden Sie unter: https://groups.google.com/g/golang-announce/c/iLGK3x6yuNo?pli=1
Github Golang/Go vom 2023-11-30 (30.11.2023)
Weitere Informationen finden Sie unter: https://github.com/golang/go/issues/64433
Go 1.21.5 and Go 1.20.12 pre-announcement vom 2023-11-30 (30.11.2023)
Weitere Informationen finden Sie unter: https://groups.google.com/g/golang-announce/c/TABUsV4-FiU
Versionshistorie dieser Sicherheitswarnung
Dies ist die 31. Version des vorliegenden IT-Sicherheitshinweises für Golang Go. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
30.11.2023 - Initiale Fassung
05.12.2023 - Neue Updates aufgenommen, Beschreibung ergänzt
11.12.2023 - Neue Updates von SUSE aufgenommen
14.12.2023 - Neue Updates von SUSE aufgenommen
20.12.2023 - Neue Updates von SUSE aufgenommen
08.01.2024 - Neue Updates von Amazon aufgenommen
09.01.2024 - Neue Updates von Amazon aufgenommen
10.01.2024 - Neue Updates von Ubuntu aufgenommen
15.01.2024 - Neue Updates von Fedora aufgenommen
25.01.2024 - Neue Updates von Red Hat aufgenommen
05.02.2024 - Neue Updates von Amazon aufgenommen
07.02.2024 - Neue Updates von Red Hat aufgenommen
08.02.2024 - Neue Updates von Red Hat aufgenommen
15.02.2024 - Neue Updates von Red Hat aufgenommen
20.02.2024 - Neue Updates von Red Hat aufgenommen
22.02.2024 - Neue Updates von Oracle Linux aufgenommen
27.02.2024 - Neue Updates von Red Hat aufgenommen
28.02.2024 - Neue Updates von Red Hat aufgenommen
04.03.2024 - Neue Updates von Red Hat und Oracle Linux aufgenommen
05.03.2024 - Neue Updates von Red Hat und Amazon aufgenommen
06.03.2024 - Neue Updates von Red Hat und Fedora aufgenommen
07.03.2024 - Neue Updates von Oracle Linux aufgenommen
11.03.2024 - Neue Updates von Red Hat aufgenommen
19.03.2024 - Neue Updates von Red Hat und Oracle Linux aufgenommen
20.03.2024 - Neue Updates von Oracle Linux aufgenommen
01.04.2024 - Neue Updates von IBM und IBM-APAR aufgenommen
02.04.2024 - Neue Updates von Red Hat und Oracle Linux aufgenommen
14.04.2024 - Neue Updates von Red Hat aufgenommen
16.04.2024 - Neue Updates von Red Hat aufgenommen
17.04.2024 - Neue Updates von Red Hat aufgenommen
25.04.2024 - Neue Updates von Red Hat aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
Folgen Sie News.de schon bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Draht zur Redaktion.
kns/roj/news.de