CVE-2023-39533

一、漏洞信息
 漏洞编号：[CVE-2023-39533](https://nvd.nist.gov/vuln/detail/CVE-2023-39533)
 漏洞归属组件：[golang](https://gitee.com/src-openeuler/golang)
 漏洞归属的版本：1.13.15,1.15.7,1.17.3,1.19.4,1.20.5
 CVSS V3.0分值：
  BaseScore：7.5 High
  Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
 漏洞简述：
  go-libp2p is the Go implementation of the libp2p Networking Stack. Prior to versions 0.27.8, 0.28.2, and 0.29.1, a malicious peer can use large RSA keys to run a resource exhaustion attack, forcing a node to spend time verifying signatures of the large key. This vulnerability is present in the core/crypto module of go-libp2p and can occur during the Noise handshake and the libp2p x509 extension verification step. To prevent this attack, go-libp2p versions 0.27.8, 0.28.2, and 0.29.1 restrict RSA keys to <= 8192 bits.
 漏洞公开时间：2023-08-09 03:15:10
 漏洞创建时间：2025-09-16 20:54:46
 漏洞详情参考链接：
  https://nvd.nist.gov/vuln/detail/CVE-2023-39533
<details>
<summary>更多参考(点击展开)</summary>

无
</details>

漏洞分析指导链接：
  https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
 漏洞数据来源:
  七彩瞬析开源风险感知平台
 漏洞补丁信息：
  <details>
<summary>详情(点击展开)</summary>

| 影响的包 | 修复版本 | 修复补丁 | 问题引入补丁 | 来源  |
| ------- | -------- | ------- | -------- | --------- |
| libp2p/go-libp2p |  | https://github.com/libp2p/go-libp2p/commit/0cce607219f3710addc7e18672cffd1f1d912fbb.patch |  | ljqc |
| golang/go |  | https://github.com/golang/go/commit/2350afd2e8ab054390e284c95d5b089c142db017.patch |  | ljqc |

</details>

二、漏洞分析结构反馈
 影响性分析说明：
  go-libp2p是libp2p网络堆栈的Go实现。在0.27.8、0.28.2和0.29.1之前的版本中，恶意对等体可以使用大型RSA密钥来运行资源耗尽攻击，并强制节点花费时间对大型密钥进行签名验证。此漏洞存在于go-libp2p的core/crypto模块中，可能在噪声握手和libp2p x509扩展验证步骤中发生。为了防止这种攻击，go-libp2p版本0.27.8、0.28.2和0.29.1将RSA密钥限制为<= 8192位。为了保护自己的应用程序，有必要更新到这些补丁版本，并在1.20.7或1.19.12中使用更新的Go编译器。
 openEuler评分：
  7.5
 Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
 受影响版本排查(受影响/不受影响)：
  1.master(1.24.2):不受影响
2.openEuler-20.03-LTS-SP4(1.15.7):不受影响
3.openEuler-22.03-LTS-SP3(1.17.3):不受影响
4.openEuler-22.03-LTS-SP4(1.17.3):不受影响
5.openEuler-24.03-LTS(1.21.4):不受影响
6.openEuler-24.03-LTS-Next(1.21.4):不受影响
7.openEuler-24.03-LTS-SP1(1.21.4):不受影响
8.openEuler-24.03-LTS-SP2(1.21.4):不受影响

修复是否涉及abi变化(是/否)：
  1.master(1.24.2):否
2.openEuler-20.03-LTS-SP4(1.15.7):否
3.openEuler-22.03-LTS-SP3(1.17.3):否
4.openEuler-22.03-LTS-SP4(1.17.3):否
5.openEuler-24.03-LTS(1.21.4):否
6.openEuler-24.03-LTS-Next(1.21.4):否
7.openEuler-24.03-LTS-SP1(1.21.4):否
8.openEuler-24.03-LTS-SP2(1.21.4):否

原因说明：
  1.master(1.24.2):不受影响-组件不存在
2.openEuler-20.03-LTS-SP4(1.15.7):不受影响-组件不存在
3.openEuler-22.03-LTS-SP3(1.17.3):不受影响-组件不存在
4.openEuler-22.03-LTS-SP4(1.17.3):不受影响-组件不存在
5.openEuler-24.03-LTS(1.21.4):不受影响-组件不存在
6.openEuler-24.03-LTS-Next(1.21.4):不受影响-组件不存在
7.openEuler-24.03-LTS-SP1(1.21.4):不受影响-组件不存在
8.openEuler-24.03-LTS-SP2(1.21.4):不受影响-组件不存在

src-openEuler/golang
关闭

内容风险标识

评论 (4)

src-openEuler/golang关闭 .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2023-39533

评论 (4)

搜索帮助

src-openEuler/golang
关闭