IT-Sicherheit: Linux, UNIX und Windows bedroht - Update für IT-Sicherheitshinweis zu Golang Go (Risiko: mittel)
Eine für Golang Go herausgegebener Sicherheitshinweis hat vom BSI ein Update erhalten. Welche Produkte von den Sicherheitslücken betroffen sind, lesen Sie hier auf news.de.
Erstellt von Sarah Knauth - Uhr
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17.11.2025 ein Update zu einer am 01.06.2025 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für Golang Go herausgegeben. Betroffen von der Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte Amazon Linux 2, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Oracle Linux, Open Source Arch Linux, IBM Business Automation Workflow, SUSE openSUSE, Golang Go, RESF Rocky Linux, IBM App Connect Enterprise, Xerox FreeFlow Print Server, IBM MQ und Red Hat OpenShift.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: XEROX Security Advisory XRX25-018 (Stand: 18.11.2025). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Mehrere Schwachstellen für Golang Go - Risiko: mittel
Risikostufe: 3 (mittel)
CVSS Base Score: 7,3
CVSS Temporal Score: 6,4
Remoteangriff: Ja
Zur Bewertung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Das Risiko der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 7,3 als "mittel" eingeschätzt.
Golang Go Bug: Schwachstellen und CVE-Nummern
Go ist eine quelloffene Programmiersprache.
Ein Angreifer kann mehrere Schwachstellen in Golang Go ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder weitere nicht spezifizierte Auswirkungen zu erziehlen.
Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2025-0913, CVE-2025-22874 und CVE-2025-4673.
Von der Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
Linux, UNIX, Windows
Produkte
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Open Source Arch Linux (cpe:/o:archlinux:archlinux)
IBM Business Automation Workflow (cpe:/a:ibm:business_automation_workflow)
SUSE openSUSE (cpe:/o:suse:opensuse)
Golang Go (cpe:/a:golang:go)
RESF Rocky Linux (cpe:/o:resf:rocky_linux)
IBM App Connect Enterprise (cpe:/a:ibm:app_connect_enterprise)
Xerox FreeFlow Print Server v7 (cpe:/a:xerox:freeflow_print_server)
IBM MQ (cpe:/a:ibm:mq)
Golang Go <1.24.4 (cpe:/a:golang:go)
Golang Go 1.24.4 (cpe:/a:golang:go)
Golang Go <1.23.10 (cpe:/a:golang:go)
Golang Go 1.23.10 (cpe:/a:golang:go)
IBM App Connect Enterprise <12.14.0 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise 12.14.0 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise <LTS 12.0.14 (cpe:/a:ibm:app_connect_enterprise)
IBM App Connect Enterprise LTS 12.0.14 (cpe:/a:ibm:app_connect_enterprise)
Red Hat OpenShift Builds 1.5.1 (cpe:/a:redhat:openshift)
Red Hat OpenShift Container Platform <4.20.3 (cpe:/a:redhat:openshift)
Red Hat OpenShift Container Platform 4.20.3 (cpe:/a:redhat:openshift)
Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann der von der IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.
Hersteller-Informationen zu Updates, Patches und Workarounds
An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
XEROX Security Advisory XRX25-018 vom 2025-11-18 (17.11.2025)
Weitere Informationen finden Sie unter: https://security.business.xerox.com/wp-content/uploads/2025/11/Xerox-Security-Bulletin-XRX25-018-Xerox-FreeFlow-Print-Server-v7.pdf
Red Hat Security Advisory RHSA-2025:19890 vom 2025-11-11 (11.11.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:19890
IBM Security Bulletin 7250258 vom 2025-11-06 (05.11.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7250258
Red Hat Security Advisory RHSA-2025:19003 vom 2025-11-03 (03.11.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:19003
Amazon Linux Security Advisory ALAS2NITRO-ENCLAVES-2025-071 vom 2025-10-14 (14.10.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2NITRO-ENCLAVES-2025-071.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-077 vom 2025-10-14 (14.10.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-077.html
Amazon Linux Security Advisory ALAS2ECS-2025-075 vom 2025-10-14 (14.10.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2ECS-2025-075.html
Rocky Linux Security Advisory RLSA-2025:15887 vom 2025-10-10 (09.10.2025)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2025:15887
IBM Security Bulletin 7246105 vom 2025-09-25 (24.09.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7246105
Red Hat Security Advisory RHSA-2025:16432 vom 2025-09-23 (22.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:16432
Red Hat Security Advisory RHSA-2025:15887 vom 2025-09-16 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15887
SUSE Security Update SUSE-SU-2025:03159-1 vom 2025-09-11 (10.09.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/XFEARURIFMW7G6QDQKSBP7SQWCSCVYJS/
SUSE Security Update SUSE-SU-2025:03158-1 vom 2025-09-11 (10.09.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/HAVLJWP2USKN4NDD3DHWC5JLHYAIS3ZK/
Red Hat Security Advisory RHSA-2025:15406 vom 2025-09-08 (07.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15406
IBM Security Bulletin 7243686 vom 2025-09-01 (01.09.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7243686
Red Hat Security Advisory RHSA-2025:13932 vom 2025-08-15 (14.08.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:13932
Red Hat Security Advisory RHSA-2025:13931 vom 2025-08-15 (14.08.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:13931
IBM Security Bulletin 7241536 vom 2025-08-06 (06.08.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7241536
Amazon Linux Security Advisory ALAS2ECS-2025-071 vom 2025-07-30 (30.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2ECS-2025-071.html
Amazon Linux Security Advisory ALAS2ECS-2025-073 vom 2025-07-30 (30.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2ECS-2025-073.html
Amazon Linux Security Advisory ALAS2ECS-2025-074 vom 2025-07-30 (30.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2ECS-2025-074.html
Amazon Linux Security Advisory ALAS2ECS-2025-072 vom 2025-07-30 (30.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2ECS-2025-072.html
openSUSE Security Update OPENSUSE-SU-2025:15379-1 vom 2025-07-25 (27.07.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/OXBEI4HV3ZI5QUREZ6X2EFASXDURBHCX/
Oracle Linux Security Advisory ELSA-2025-10672 vom 2025-07-16 (15.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10672.html
Amazon Linux Security Advisory ALAS2NITRO-ENCLAVES-2025-068 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2NITRO-ENCLAVES-2025-068.html
Oracle Linux Security Advisory ELSA-2025-10677 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10677.html
Amazon Linux Security Advisory ALAS2NITRO-ENCLAVES-2025-066 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2NITRO-ENCLAVES-2025-066.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-071 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-071.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-070 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-070.html
Amazon Linux Security Advisory ALAS2NITRO-ENCLAVES-2025-069 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2NITRO-ENCLAVES-2025-069.html
Amazon Linux Security Advisory ALAS2NITRO-ENCLAVES-2025-067 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2NITRO-ENCLAVES-2025-067.html
Amazon Linux Security Advisory ALAS2-2025-2921 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2921.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-074 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-074.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-072 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-072.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-075 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-075.html
Amazon Linux Security Advisory ALAS2DOCKER-2025-073 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2DOCKER-2025-073.html
Amazon Linux Security Advisory ALAS2-2025-2922 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2922.html
Red Hat Security Advisory RHSA-2025:10735 vom 2025-07-09 (09.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10735
Oracle Linux Security Advisory ELSA-2025-10676 vom 2025-07-09 (09.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10676.html
Red Hat Security Advisory RHSA-2025:10677 vom 2025-07-09 (08.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10677
Red Hat Security Advisory RHSA-2025:10672 vom 2025-07-09 (08.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10672
Red Hat Security Advisory RHSA-2025:10676 vom 2025-07-09 (08.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10676
Amazon Linux Security Advisory ALAS2-2025-2900 vom 2025-06-30 (30.06.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2900.html
SUSE Security Update SUSE-SU-2025:02120-1 vom 2025-06-26 (26.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021667.html
Amazon Linux Security Advisory ALAS-2025-2900 vom 2025-06-24 (24.06.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2025-2900.html
Ubuntu Security Notice USN-7574-1 vom 2025-06-19 (19.06.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7574-1
SUSE Security Update SUSE-SU-2025:01846-1 vom 2025-06-09 (09.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021440.html
Arch Linux Security Advisory ASA-202506-4 vom 2025-06-07 (09.06.2025)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202506-4
SUSE Security Update SUSE-SU-2025:01848-1 vom 2025-06-09 (09.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021439.html
Golang Announce (05.06.2025)
Weitere Informationen finden Sie unter: https://groups.google.com/g/golang-announce/c/ufZ8WpEsA3A/m/XDxq7uidAgAJ
Golang GitHub vom 2025-06-01 (01.06.2025)
Weitere Informationen finden Sie unter: https://github.com/golang/go/issues/73816
Golang GitHub vom 2025-06-01 (01.06.2025)
Weitere Informationen finden Sie unter: https://github.com/golang/go/commit/9bba799955e68972041c4f340ee4ea2d267e5c0e
Golang GitHub vom 2025-06-01 (01.06.2025)
Weitere Informationen finden Sie unter: https://github.com/golang/go/commit/adcad7bea9f6933a219c7b05d8173cf8a4586092
Go 1.24.4 and Go 1.23.10 pre-announcement vom 2025-06-01 (01.06.2025)
Weitere Informationen finden Sie unter: https://groups.google.com/g/Golang-Nuts/c/T9FCA0Vz5DU
Versionshistorie dieses Sicherheitshinweises
Dies ist die 28. Version des vorliegenden IT-Sicherheitshinweises für Golang Go. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.
01.06.2025 - Initiale Fassung
05.06.2025 - Neue Updates aufgenommen
09.06.2025 - Neue Updates von SUSE und Arch Linux aufgenommen
11.06.2025 - Referenz(en) aufgenommen: GO-2025-3750, GO-2025-3749, GO-2025-3751
19.06.2025 - Neue Updates von Ubuntu aufgenommen
24.06.2025 - Neue Updates von Amazon aufgenommen
26.06.2025 - Neue Updates von SUSE aufgenommen
30.06.2025 - Neue Updates von Amazon aufgenommen
08.07.2025 - Neue Updates von Red Hat aufgenommen
09.07.2025 - Neue Updates von Oracle Linux aufgenommen
10.07.2025 - Neue Updates von Amazon und Oracle Linux aufgenommen
15.07.2025 - Neue Updates von Oracle Linux aufgenommen
27.07.2025 - Neue Updates von openSUSE aufgenommen
30.07.2025 - Neue Updates von Amazon aufgenommen
06.08.2025 - Neue Updates von IBM aufgenommen
14.08.2025 - Neue Updates von Red Hat aufgenommen
01.09.2025 - Neue Updates von IBM aufgenommen
07.09.2025 - Neue Updates von Red Hat aufgenommen
10.09.2025 - Neue Updates von SUSE aufgenommen
15.09.2025 - Neue Updates von Red Hat aufgenommen
22.09.2025 - Neue Updates von Red Hat aufgenommen
24.09.2025 - Neue Updates von IBM aufgenommen
09.10.2025 - Neue Updates von Rocky Enterprise Software Foundation aufgenommen
14.10.2025 - Neue Updates von Amazon aufgenommen
03.11.2025 - Neue Updates von Red Hat aufgenommen
05.11.2025 - Neue Updates von IBM aufgenommen
11.11.2025 - Neue Updates von Red Hat aufgenommen
17.11.2025 - Neue Updates von XEROX aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
kns/roj/news.de
Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.