Go言語の暗号ライブラリに認証バイパスの脆弱性
Go言語の暗号ライブラリにおいて、認証をバイパスされるおそれがある深刻な脆弱性が明らかとなった。アップデートで修正されている。
公開鍵認証のコールバック関数を誤って使用することに起因する認証バイパスの脆弱性「CVE-2024-45337」が判明したもの。
SSHプロトコルを用いる脆弱なアプリケーションにおいて複数の鍵を用いた場合、あとから提供された鍵を認証済みと判断し、誤ってアクセスを許すおそれがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」、重要度を「クリティカル(Critical)」とレーティングしている。
開発チームでは、コールバック関数「golang.org/x/crypto」の「バージョン0.31.0」で仕様を変更して脆弱性を修正した。アップデートを呼びかけている。
(Security NEXT - 2024/12/18 )
ツイート
PR
関連記事
「Apache Superset」に権限外のDB操作が可能となる脆弱性
先週注目された記事(2024年12月15日〜2024年12月21日)
まもなく長期休暇、万全なセキュリティ対策で良い年越しを
「MS Edge」にアップデート、4件の脆弱性を修正
マラソン大会案内メールで誤送信、個人情報が流出 - 鹿沼市
常時施錠管理の書類が所在不明に、誤廃棄か - 網走信金
交付制限の支援措置対象者戸籍を加害者側に交付、連携ミスで - 岡山市
クラフトビール通販サイト、メールサーバで個人情報流出の可能性
「Sophos Firewall」に複数の深刻な脆弱性 - 影響は1%未満
教員が個人情報を持出、学生との共有サーバに誤保存 - 法政大