go库x/text缺陷报告CVE-2022-32149的处理方案

最新推荐文章于 2024-06-29 22:29:19 发布
最新推荐文章于 2024-06-29 22:29:19 发布
阅读量651 收藏 8
点赞数 4
文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mimiduck/article/details/137352635
版权

#问题描述

go库 golang.org/x/text ,注意这里不是go的源码, 在0.3.8版本之前存在一个缺陷(Vulnerability)

缺陷ID

CVE-2022-32149

具体描述

攻击者可以通过制作一个Accept-Language报头来导致拒绝服务。
具体的原因是,在解析这个Accept-Language报头时,是比较花时间的。攻击者可以针对这个,故意填充大量的Accept-Language报头内容来导致服务器的资源消耗,从而拖垮服务器。
有问题的函数是ParseAcceptLanguage。

源码分析

根据原因,源码里主要就是对长度做了一层判断。 一共4行代码改动
https://go-review.googlesource.com/c/text/+/442235/2/language/parse.go#166

解决方案

在github(https://github.com/golang/go/issues/56152)上,有说解决的版本是0.4.0
在这里插入图片描述

这里需要明确一个概念,直接引用间接引用
如果你的代码中直接引用了这个库,可以把他升级到最新的版本。 如果是间接引用,要看一下是否是否真实使用到。

如果是真实使用到,在go build的时候go就会提示你使用go get拉去对应的text库的代码,(这个代码在modcache目录下,一般是在你home目录下),如果是使用到的话,编译环境的机器上也是可以搜到的。

间接引用,不一定就使用到了间接引用的全部代码,尽管在go源码中,通过go mod graph也可以看到里面的引用,但是对应我们的程序就是间接引用了,这里不一定真实用到。

go mod graph | grep text

std golang.org/x/text@v0.11.0
golang.org/x/crypto@v0.11.1-0.20230711161743-2e82bdd1719d golang.org/x/text@v0.11.0
golang.org/x/net@v0.12.1-0.20231027154334-5ca955b1789c golang.org/x/text@v0.11.0
golang.org/x/text@v0.11.0 golang.org/x/tools@v0.6.0
golang.org/x/text@v0.11.0 golang.org/x/mod@v0.8.0
golang.org/x/text@v0.11.0 golang.org/x/sys@v0.5.0

另外一种证明。 对于linux下的go生成的文件,大体使用了gcc生成的可执行程序。可以直接使用如下命令来查看是否存在该函数的调用。如果存在,则会出现binary matches字样

grep ParseAcceptLanguage  xxxx

相关连接

https://go.dev/cl/442235
https://go.dev/issue/56152
https://groups.google.com/g/golang-announce/c/-hjNw559_tE/m/KlGTfid5CAAJ
https://pkg.go.dev/vuln/GO-2022-1059
https://golangtutorial.dev/news/fix-in-golang-text-package/

安安爸Chris
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞 和 CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-22965 GUItools单个图形化利用工具
04-06
CVE-2010-1622中曾出现由于参数自动绑定机制导致的问题, 此前通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,最后导致远程代码执行。
四、golang基础之defer
weixin_54447296的博客
06-29 187
defer语句被用于预定对一个函数的调用。可以把这类被defer语句调用的函数称为延迟函数。
Go-知识测试-工作机制
a18792721831的博客
06-29 793
在 Go 语言的源码中,go test 命令的实现主要在 src/cmd/go/internal/test 包中。当你运行 go test 命令时,Go 的命令行工具会调用这个包中的代码来执行测试。在 src/cmd/go/internal/test 包中,runTest 函数是 go test 命令的主要入口点。这个函数负责解析命令行参数,构建测试的二进制文件,启动这个二进制文件,以及读取和解析测试结果。
sitemap.xml生成(go语言版)
lsjweiyi的博客
06-25 264
遍历一个文件夹及其子目录下的html文件,生成sitemap.xml。
Go语言JSON-RPC 实战: `net/rpc/jsonrpc` 包的高效使用指南
walkskyer的博客
06-25 1091
在现代软件开发中,服务间的通信是一个常见且重要的议题。为了实现服务间的有效通信,多种协议和技术被广泛使用,其中 JSON-RPC 作为一种轻量级的远程过程调用(RPC)协议,因其简单和易于使用而受到许多开发者的青睐。包是 Go 语言标准中的一部分,提供了使用 JSON-RPC 2.0 协议的客户端和服务器实现。本教程旨在全面介绍如何在 Go 语言中使用包来构建和维护 RPC 服务。本文将详细介绍如何使用。
Go 语言特定指南
美味小鱼的杂货铺
06-25 815
本指南将向您展示如何使用 Docker 创建、测试和部署容器化的 Go 应用程序。
Java程序员学习Go开发Higress的WASM插件
BothSavage
06-26 711
tinygo@0.32+go@1.19无法在macos arm架构下打包。升级go@1.21再次打包提示unsafe.SliceData requires go1.20 or later。后放弃macos+arm,采用ubuntu+amd64打包,ubuntu打包也必须使用tinygo@0.28.1。0.32.0在ubuntu仍然提示unsupported GOOS/GOARCH pair wasip1/wasm。
Golang | Leetcode Golang题解之第189题轮转数组
weixin_66442839的博客
06-25 232
Golang | Leetcode Golang题解之第189题轮转数组
golang跨平台GUI框架fyne介绍与使用详解,开放案例
nbplus_007的博客
06-28 1026
Fyne 是一个使用 Go 编写的易于使用的 UI 工具包和应用程序 API。 它旨在构建使用单一代码在桌面和移动设备上运行的应用程序。通过批量调用身份证实名和三网手机实名和银行卡核验等接口,完成fyne框架的基本使用介绍
五、golang基础之slice和map
weixin_54447296的博客
06-29 294
切片不需要说明长度。也可以简写为也可以指定容量,其中capacity为可选参数。这里 len 是数组的长度并且也是切片的初始长度。
Go interface{}类型转换
专注于全栈开发领域
06-25 944
是 Go 语言中一个强大的特性,它允许开发者编写更加灵活和通用的代码。然而,正确和高效地使用需要对类型断言和类型转换有深入的理解。通过遵循上述技巧,你可以更好地利用,编写出既灵活又健壮的 Go 代码。
go语言DAY7 字典Map 指针 结构体 函数
最新发布
weixin_45939821的博客
06-29 345
这样就把所有散列的map元素按哈希值与队列数的模值这样的规律放好,将来想找到某一个map元素,就根据模值找到这个元素所在的队列,在根据这个元素的哈希值具体查找到这个元素,这样的话效率对比查找某个map值需要遍历整个map集合来说效率就高了3/4。哈希值与B的&运算,但是B值与哈希值相比较高位全部为0,高位&运算的二进制结果都为0,没有意义,通常取哈希值低B位进行运算得到对应标准桶的索引下标。也不能是嵌套的切片,map类型。bmap代表的是桶数组中的桶对象,bmap负责存储key,value值。
golang中空值判断函数,支持任意类型的空值判断
06-28 130
使用反射方式对any任意类型的数据是否为空判断, 可判断时间对象是否为空, 可判断所有数字类型,指针类型和结构体字符串是否为空。
Go 实现SFTP连接服务
sinat_41883985的博客
06-25 498
我们将SFTP连接和处理逻辑,以及登录账户信息封装,这样可以在不同的地方重用代码,并且可以轻松地更改登录凭据。在实际部署中,您应该使用更安全的方法存储用户凭据,例如使用加密的方式,或者通过集成现有的用户管理系统,而不是将用户名和密码硬编码在代码中。此外,您可能还需要添加更多的功能,例如支持基于公钥的认证、限制用户的文件系统访问权限、记录日志到文件等。您需要确保您的系统中有SSH私钥文件,并且您有权使用指定的端口。是您的服务器私钥文件的路径,您需要将其替换为实际的文件路径。方法,后者配置并启动SFTP服务。
GO内存管理
qq_43157273的博客
06-25 283
go 内存管理、分配、逃逸、泄露
CVE-2022-41741, CVE-2022-41742
08-02
CVE-2022-41741和CVE-2022-41742是影响NGINX Plus、NGINX开源版以及NGINX企阅版的漏洞。CVE-2022-41741是一个内存损坏漏洞,CVSS评分为7.1(高危),而CVE-2022-41742是一个内存泄漏漏洞,CVSS评分为7.0(高危)。[1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值