文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

CVE-2021-3115——Golang Windows版本 RCE漏洞

2024-12-03 12:10

关注

1月,谷歌工程师修复了Go语言(Golang)中的一个远程代码执行漏洞。该漏洞CVE编号为CVE-2021-3115,漏洞主要影响使用go get命令的Windows Go用户。

非可信目录路径查找RCE

该漏洞是由日本安全研究人员RyotaK发现的,属于命令注入漏洞。漏洞产生的根本原因是用户运行go get命令来提取库时编译过程的工作原理造成的。

在Windows 系统中,用户或程序运行的操作系统shell命令会引发shell 在当前目录中搜索与该命令有关的二进制文件或可执行文件,然后在系统PATH变量中指定一个目录列表。

比如,如果在Windows 命令窗口输入netstat,Windows就会在当前目录中搜索netstat.exe、netstat.bat或其他netstat.*可执行文件,这些搜索到的文件会优先执行。


测试Windows PATH查找

如果当前目录中不存在netstat 相关的可执行文件,那么Windows shell就会查找netstat 系统工具,该系统工具位于 Windows %PATH% 变量中。

由于与该行为相关的安全风险,Windows PowerShell和Unix shell在执行命令时都已经放弃了该默认行为,开始优先处理非可信当前目录上的%PATH% 变量位置。

也就是说,在PowerShell 中运行netstat 会启动netstat系统工具,而不是本地的netstat.bat,因为PoweShell 会优先在%PATH% 目录中搜索包含该名字的二进制文件。

为了保持一致性,Golang 二进制文件在Unix 系统中效仿了Unix 规则,在Windows 系统中效仿了Windows 规则。也就是说,运行下面的命令在Unix系统和Windows 系统中会产生不同的行为:

  1. out, err := exec.Command("go""version").CombinedOutput() 

在Windows 系统中,本地的Go二进制文件优先级高,而Unix 系统中会首先搜索$PATH 变量来确认其可信位置中是否存在go 二进制文件。

这种优先本地、非可信目录的方法也在Go helper和编译器中实现了,比如为调用C语言代码生成Go包的工具——cgo。

Cgo在Windows系统中编译C代码时,Golang可执行文件首先会在非可信的本地目录中搜索GCC编译器。Cgo运行的go命令会包含包资源。因此,攻击者可以利用cgo来启动恶意的gcc.exe程序。

虽然该行为可能是由多个编译器、库等造成的,但是Golang Project决定修复该漏洞,并已经发布了补丁。

总结

研究人员RyotaK 称该漏洞的发现是受CVE-2020-27955漏洞启发,CVE-2020-27955是Git LFS中的命令注入漏洞,该漏洞是由于不安全的文件执行引发的Git LFS远程代码执行漏洞。

研究人员建议用户升级到最新的Go v1.14.14版本来避免该漏洞的利用。

本文翻译自:https://www.bleepingcomputer.com/news/security/google-fixes-severe-golang-windows-rce-vulnerability/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯