HashiCorp, ein führender Anbieter von Infrastrukturautomatisierung für Multi-Cloud-Umgebungen, hat eine Sicherheitswarnung für seine Go Download Bibliothek go-getter herausgegeben. Ein Argument Injection Problem, das beim Auffinden von Standard-Git-Zweigen auf Remote-Servern auftritt, wurde identifiziert und trägt die Kennung CVE-2024-3817 (CVSS 9.8 / 10).
Diese Sicherheitsanfälligkeit betrifft go-getter Versionen 1.5.9 bis 1.7.3 und wurde in der Version 1.7.4 behoben. Die Schwachstelle wurde am 17. April 2024 veröffentlicht. Es ist zu beachten, dass die go-getter/v2 Verzweigung und das entsprechende Paket nicht von dieser Problematik betroffen sind.
Die go-getter Bibliothek wird in der Programmiersprache Go verwendet, um Dateien oder Verzeichnisse von verschiedenen Quellen mittels URL herunterzuladen. Wenn kein Git-Referenz zusammen mit der Git-URL übermittelt wird, versucht go-getter, die HEAD-Referenz des Standardzweigs im Remote-Repository durch Übergabe von Argumenten an das Git-Binary auf dem ausführenden Host zu ermitteln. Dies könnte es einem Angreifer ermöglichen, eine Git-URL so zu formatieren, dass zusätzliche Git-Argumente in den Git-Aufruf eingeschleust werden.
Nutzer der go-getter Bibliothek sollten die Risiken, die mit diesen Problemen im Kontext ihrer go-getter Nutzung verbunden sind, bewerten und go-getter auf Version 1.7.4 oder höher aktualisieren. Die neuesten Releases von go-getter können auf der GitHub-Seite von hashicorp/go-getter eingesehen werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: