Уязвимость CVE-2022-23806: Информация
Описание
Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations with a big.Int value that is not a valid field element.
Важность: CRITICAL (9,1) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
|---|---|---|---|---|---|---|
| golang | sisyphus | 1.17.7-alt1 | 1.22.3-alt1 | ALT-PU-2022-1265-1 | 295238 | Исправлено |
| golang | sisyphus_riscv64 | 1.17.7-alt1 | 1.22.3-alt1 | ALT-PU-2022-4022-1 | - | Исправлено |
| golang | p10 | 1.16.14-alt1 | 1.21.10-alt1 | ALT-PU-2022-1283-1 | 295237 | Исправлено |
| golang | p9 | 1.19.12-alt1 | 1.15.15-alt1 | ALT-PU-2023-5153-1 | 326713 | Тестирование |
| golang | c10f1 | 1.16.14-alt1 | 1.21.10-alt1 | ALT-PU-2022-1283-1 | 295237 | Исправлено |
| golang | c9f2 | 1.16.15-alt1.c9 | 1.20.11-alt1 | ALT-PU-2022-1435-1 | 296257 | Исправлено |
Ссылки на рекомендации, решения и инструменты
Ссылка | Ресурс |
|---|---|
| https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ |
|
| https://security.netapp.com/advisory/ntap-20220225-0006/ |
|
| [debian-lts-announce] 20220428 [SECURITY] [DLA 2986-1] golang-1.8 security update |
|
| [debian-lts-announce] 20220428 [SECURITY] [DLA 2985-1] golang-1.7 security update |
|
| N/A |
|
| GLSA-202208-02 |
|
| [debian-lts-announce] 20230419 [SECURITY] [DLA 3395-1] golang-1.11 security update |