E a linguagem Go recebeu duas novas atualizações críticas para combater duas novas vulnerabilidades encontradas, onde os agentes invasores podem conseguir executar códigos arbitrários e até mesmo causar um DOS (Denial of Service) através de Loops infinitos via DNS.
Essas vulnerabilidades, identificadas como CVE-2024-24787 e CVE-2024-24788, representam sérios riscos para os sistemas que executam versões afetadas do Go. Então vamos entender elas e como elas podem afetar o seu sistema:
Arbitrary Code Execution Vulnerability On Darwin (CVE-2024-24787)
Aqui começamos o problema para quem usa o Sistema Operacional Darwin, detalhado na CVE-2024-24787, surge durante o processo de construção de módulos Go que incorporam CGO.
A vulnerabilidade é desencadeada pelo uso indevido do sinalizador `-lto_library` na diretiva `#cgo LDFLAGS`, que é usada com a versão do linker da Apple (ld). Essa falha pode permitir que um invasor execute código arbitrário carregando uma biblioteca LTO (Link Time Optimization) maliciosa durante o processo de construção.
A vulnerabilidade recebeu uma pontuação CVSS de 9,8, indicando sua gravidade.
Infinite Loop In DNS Lookup Functions (CVE-2024-24788)
Esta segunda vulnerabilidade, CVE-2024-24788, afeta as funções de pesquisa de DNS do Go. Uma resposta DNS especialmente criada pode fazer com que essas funções entrem em um loop infinito, levando potencialmente a uma condição de negação de serviço (DoS).
Esta vulnerabilidade ameaça principalmente aplicativos e serviços voltados para a Web que dependem de consultas Go para DNS, com uma pontuação CVSS de 7,5 refletindo seu impacto significativo.
Mas o que fazer nessa hora?
Calma Padawan, o time do Go respondeu rapidamente a essas ameaças lançando as versões 1.22.3 e 1.21.10 do Go, que abordam essas vulnerabilidades. Então agora é atualizarmos essas versões em nossos ambientes.
Estas vulnerabilidades recentes destacam os desafios contínuos enfrentados na segurança das cadeias de fornecimento e infraestrutura de software.
À medida que o uso do Go continua a crescer em diversas aplicações, manter práticas de segurança rigorosas e atualizações regulares torna-se cada vez mais crítico.
Developer Initiative 