Go言語の暗号ライブラリに認証バイパスの脆弱性
Go言語の暗号ライブラリにおいて、認証をバイパスされるおそれがある深刻な脆弱性が明らかとなった。アップデートで修正されている。
公開鍵認証のコールバック関数を誤って使用することに起因する認証バイパスの脆弱性「CVE-2024-45337」が判明したもの。
SSHプロトコルを用いる脆弱なアプリケーションにおいて複数の鍵を用いた場合、あとから提供された鍵を認証済みと判断し、誤ってアクセスを許すおそれがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」、重要度を「クリティカル(Critical)」とレーティングしている。
開発チームでは、コールバック関数「golang.org/x/crypto」の「バージョン0.31.0」で仕様を変更して脆弱性を修正した。アップデートを呼びかけている。
(Security NEXT - 2024/12/18 )
ツイート
PR
関連記事
Zyxel「GS1900」シリーズに脆弱性 - LAN経由でOSコマンド実行のおそれ
「Autodesk Fusion」に脆弱性 - 悪意あるページ閲覧でRCEのおそれ
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
医療機関向けの補助金案内メールで誤送信 - 大阪市
「映像のまち・かわさき」関連サイトで障害 - 攻撃受けた可能性
行政文書の個人情報、墨塗りせず交付 - 神奈川県
患者情報含むUSBメモリを一時紛失 - 関西医科大病院
予約管理システムが侵害、個人情報が流出 - アソビュー
県立高でサポート詐欺被害、端末内部に個人情報 - 島根県
「WooCommerce」旧版にRCE脆弱性 - 実証コードも
