8 Star 7 Fork 84

src-openEuler/golang

CVE-2022-41724

已完成
CVE和安全问题
创建于  
2023-03-21 17:03

一、漏洞信息
漏洞编号:CVE-2022-41724
漏洞归属组件:golang
漏洞归属的版本:1.13.15,1.15.7,1.17.3,1.19.4
CVSS V3.0分值:
BaseScore:7.5 High
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞简述:
Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).
漏洞公开时间:2023-03-01 02:15:00
漏洞创建时间:2023-03-21 17:03:33
漏洞详情参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2022-41724

更多参考(点击展开)
参考来源 参考链接 来源链接
nvd https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E
nvd https://pkg.go.dev/vuln/GO-2023-1570
nvd https://go.dev/cl/468125
nvd https://go.dev/issue/58001
redhat https://access.redhat.com/security/cve/CVE-2022-41724
redhat_bugzilla https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E https://bugzilla.redhat.com/show_bug.cgi?id=2178492
redhat_bugzilla https://pkg.go.dev/vuln/GO-2023-1570 https://bugzilla.redhat.com/show_bug.cgi?id=2178492
redhat_bugzilla https://go.dev/cl/468125 https://bugzilla.redhat.com/show_bug.cgi?id=2178492
redhat_bugzilla https://go.dev/issue/58001 https://bugzilla.redhat.com/show_bug.cgi?id=2178492
ubuntu https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41724 https://ubuntu.com/security/CVE-2022-41724
ubuntu https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E https://ubuntu.com/security/CVE-2022-41724
ubuntu https://go.dev/issue/58001 https://ubuntu.com/security/CVE-2022-41724
ubuntu https://nvd.nist.gov/vuln/detail/CVE-2022-41724 https://ubuntu.com/security/CVE-2022-41724
ubuntu https://launchpad.net/bugs/cve/CVE-2022-41724 https://ubuntu.com/security/CVE-2022-41724
ubuntu https://security-tracker.debian.org/tracker/CVE-2022-41724 https://ubuntu.com/security/CVE-2022-41724
debian https://security-tracker.debian.org/tracker/CVE-2022-41724
cve_search https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E
cve_search https://pkg.go.dev/vuln/GO-2023-1570
cve_search https://go.dev/cl/468125
cve_search https://go.dev/issue/58001
mageia http://advisories.mageia.org/MGASA-2023-0109.html
nvd https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E
nvd https://pkg.go.dev/vuln/GO-2023-1570
nvd https://go.dev/cl/468125
nvd https://go.dev/issue/58001
debian https://security-tracker.debian.org/tracker/CVE-2022-41724

漏洞分析指导链接:
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
openBrain开源漏洞感知系统
漏洞补丁信息:

详情(点击展开)

二、漏洞分析结构反馈
影响性分析说明:
Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).
openEuler评分:
7.5
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响):
1.openEuler-20.03-LTS-SP1(1.15.7):受影响
2.openEuler-20.03-LTS-SP3(1.15.7):受影响
3.openEuler-22.03-LTS(1.17.3):受影响
4.openEuler-22.03-LTS-SP1(1.17.3):受影响

修复是否涉及abi变化(是/否):
1.openEuler-20.03-LTS-SP1(1.15.7):否
2.openEuler-20.03-LTS-SP3(1.15.7):否
3.openEuler-22.03-LTS(1.17.3):否
4.openEuler-22.03-LTS-SP1(1.17.3):否

三、漏洞修复
安全公告链接:https://www.openeuler.org/zh/security/safety-bulletin/detail/?id=openEuler-SA-2023-1192

评论 (16)

yanxiaobing2020 创建了CVE和安全问题 2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 修改了描述 2年前
openeuler-ci-bot 负责人设置为jing-rui 2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 计划开始日期设置为2023-03-21 2年前
openeuler-ci-bot 计划截止日期设置为2023-04-04 2年前
openeuler-ci-bot 优先级设置为主要 2年前
参考网址 关联pr 状态 补丁链接
https://security-tracker.debian.org/tracker/CVE-2022-41724NoneNonehttps://github.com/golang/go/commit/66c58b946beaa38de35241c3f64ec358f5ad03f1
https://github.com/golang/go/commit/6435d0cfbf72f405f31430e60766add6d6762fe1
https://github.com/golang/go/commit/4c8b09e9183390d6ab80d3f53a9fe5f6ace92f06
https://ubuntu.com/security/CVE-2022-41724NoneNonehttps://discourse.ubuntu.com/c/ubuntu-pro
http://www.cnnvd.org.cn/web/vulnerability/queryLds.tag?qcvCnnvdid=CVE-2022-41724

说明:补丁链接仅供初步排查参考,实际可用性请人工再次确认,补丁下载验证可使用CVE补丁工具
若补丁不准确,烦请在此issue下评论 '/report-patch 参考网址 补丁链接1,补丁链接2' 反馈正确信息,便于我们不断优化工具,不胜感激。
如 /report-patch https://security-tracker.debian.org/tracker/CVE-2021-3997 https://github.com/systemd/systemd/commit/5b1cf7a9be37e20133c0208005274ce4a5b5c6a1

openeuler-ci-bot 修改了描述 2年前
openeuler-ci-bot 修改了描述 2年前
openeuler-ci-bot 修改了描述 2年前
hc 通过合并 Pull Request !178: golang: fix CVE-2022-41723,CVE-2022-41724,CVE-2022-41725任务状态待办的 修改为已完成 2年前
openeuler-ci-bot 任务状态已完成 修改为待办的 2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
hc 通过合并 Pull Request !179: golang: fix CVE-2022-41723,CVE-2022-41724,CVE-2022-41725任务状态待办的 修改为已完成 2年前
openeuler-ci-bot 任务状态已完成 修改为待办的 2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
hc 通过合并 Pull Request !181: golang: fix CVE-2022-41723,CVE-2022-41724,CVE-2022-41725任务状态待办的 修改为已完成 2年前
openeuler-ci-bot 任务状态已完成 修改为待办的 2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
hc 通过合并 Pull Request !182: golang: fix CVE-2022-41723,CVE-2022-41724,CVE-2022-41725任务状态待办的 修改为已完成 2年前
openeuler-ci-bot 任务状态已完成 修改为待办的 2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
hc 通过合并 Pull Request !183: golang: fix CVE-2022-41723,CVE-2022-41724,CVE-2022-41725任务状态待办的 修改为已完成 2年前
openeuler-ci-bot 任务状态已完成 修改为待办的 2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 添加了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前

影响性分析说明:
Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).
openEuler评分:
7.5
Vector:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响):
1.openEuler-20.03-LTS-SP1(1.15.7):受影响
2.openEuler-20.03-LTS-SP3:受影响
3.openEuler-22.03-LTS:受影响
4.openEuler-22.03-LTS-SP1:受影响

修复是否涉及abi变化(是/否):
1.openEuler-20.03-LTS-SP1(1.15.7):否
2.openEuler-20.03-LTS-SP3:否
3.openEuler-22.03-LTS:否
4.openEuler-22.03-LTS-SP1:否

openeuler-ci-bot 修改了描述 2年前

/close

openeuler-ci-bot 修改了描述 2年前
jing-rui 任务状态待办的 修改为已拒绝 2年前
jing-rui 任务状态已拒绝 修改为已完成 2年前
openeuler-ci-bot 移除了
 
CVE/UNFIXED
标签
2年前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 添加了
 
CVE/FIXED
标签
2年前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
2年前
openeuler-ci-bot 修改了描述 2年前
openeuler-ci-bot 移除了
 
CVE/FIXED
标签
6个月前
openeuler-ci-bot 移除了
 
sig/sig-golang
标签
6个月前
openeuler-ci-bot 添加了
 
CVE/UNAFFECTED
标签
6个月前
openeuler-ci-bot 添加了
 
sig/sig-golang
标签
6个月前

登录 后才可以发表评论

状态
负责人
项目
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
预计工期 (小时)
开始日期   -   截止日期
-
置顶选项
优先级
里程碑
分支
参与者(3)
5329419 openeuler ci bot 1632792936 yanxiaobing2020-yanxiaobing2020 hc-hcnbxx
1
https://gitee.com/src-openeuler/golang.git
git@gitee.com:src-openeuler/golang.git
src-openeuler
golang
golang

搜索帮助