En x-text en Go 1.15.4, se produce un pánico de índice fuera de rango en language.ParseAcceptLanguage mientras se analiza la extensión -u-.
Los analistas de NVD utilizan información disponible públicamente para asociar cadenas de vectores y puntuaciones CVSS.
También mostramos cualquier información CVSS proporcionada dentro de la Lista CVE de la CNA.
Una vulnerabilidad clasificada como problemática fue encontrada en Google Go 1.15.4 ( Programming Language Software ). Este problema se ve afectada por la función language.ParseAcceptLanguagedel archivo x / text del componente x-text .
A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase corrupción de memoria. El uso de CWE para declarar el problema conduce a CWE-129 . Impactada es la disponibilidad.
Referencias:
https://github.com/golang/go/issues/42535
https://play.golang.org/p/FCHj_rCBdiH
¿Que es el NVD?
El NVD es el depósito del gobierno de EE. UU. De datos de gestión de vulnerabilidades basados en estándares representados mediante el Protocolo de automatización de contenido de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. El NVD incluye bases de datos de referencias de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto.
CVE-2020-28851 In x/text in Go 1.15.4, an "index out of range" panic occurs in language.ParseAcceptLanguage while parsing the -u- extension. (x/text/language is supposed to be able to parse an HTTP Accept-Language header.) https://t.co/SEJC6VWoAa
— CVE (@CVEnew) January 2, 2021
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-01-05. Fecha publicación el 2021-01-05. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: incibe