Go言語の暗号ライブラリに認証バイパスの脆弱性
Go言語の暗号ライブラリにおいて、認証をバイパスされるおそれがある深刻な脆弱性が明らかとなった。アップデートで修正されている。
公開鍵認証のコールバック関数を誤って使用することに起因する認証バイパスの脆弱性「CVE-2024-45337」が判明したもの。
SSHプロトコルを用いる脆弱なアプリケーションにおいて複数の鍵を用いた場合、あとから提供された鍵を認証済みと判断し、誤ってアクセスを許すおそれがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」、重要度を「クリティカル(Critical)」とレーティングしている。
開発チームでは、コールバック関数「golang.org/x/crypto」の「バージョン0.31.0」で仕様を変更して脆弱性を修正した。アップデートを呼びかけている。
(Security NEXT - 2024/12/18 )
ツイート
PR
関連記事
サポート詐欺被害で患者情報流出の可能性 - 藤医大病院
宿泊予約者にフィッシングメッセージ - 琵琶湖ホテル
アジア競技大会のグッズ販売フォームで設定ミス - 名古屋市
5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
Oracle「PeopleSoft」に深刻なRCE脆弱性 - ただちに対応を
「Ivanti Sentry」脆弱性の悪用確認 - PoC公開でリスク増
「Chrome」に今週2度目のセキュ更新 - 脆弱性28件を修正
サイトが改ざん被害、外部へ誘導 - アイサンテクノロジー
防災士向け研修会の案内メールで送信ミス - 本巣市
出張先の移動中にPCを置き忘れて紛失 - 高知工科大
