Argument Injection Schwachstelle in Go Download Bibliothek go-getter

HashiCorp, ein führender Anbieter von Infrastrukturautomatisierung für Multi-Cloud-Umgebungen, hat eine Sicherheitswarnung für seine Go Download Bibliothek go-getter herausgegeben. Ein Argument Injection Problem, das beim Auffinden von Standard-Git-Zweigen auf Remote-Servern auftritt, wurde identifiziert und trägt die Kennung CVE-2024-3817 (CVSS 9.8 / 10).

Diese Sicherheitsanfälligkeit betrifft go-getter Versionen 1.5.9 bis 1.7.3 und wurde in der Version 1.7.4 behoben. Die Schwachstelle wurde am 17. April 2024 veröffentlicht. Es ist zu beachten, dass die go-getter/v2 Verzweigung und das entsprechende Paket nicht von dieser Problematik betroffen sind.

Die go-getter Bibliothek wird in der Programmiersprache Go verwendet, um Dateien oder Verzeichnisse von verschiedenen Quellen mittels URL herunterzuladen. Wenn kein Git-Referenz zusammen mit der Git-URL übermittelt wird, versucht go-getter, die HEAD-Referenz des Standardzweigs im Remote-Repository durch Übergabe von Argumenten an das Git-Binary auf dem ausführenden Host zu ermitteln. Dies könnte es einem Angreifer ermöglichen, eine Git-URL so zu formatieren, dass zusätzliche Git-Argumente in den Git-Aufruf eingeschleust werden.

Nutzer der go-getter Bibliothek sollten die Risiken, die mit diesen Problemen im Kontext ihrer go-getter Nutzung verbunden sind, bewerten und go-getter auf Version 1.7.4 oder höher aktualisieren. Die neuesten Releases von go-getter können auf der GitHub-Seite von hashicorp/go-getter eingesehen werden.

Related Posts

Hohes Risiko durch Sicherheitslücken in Keycloak

In der Open-Source-Identitäts- und Zugriffsmanagement-Software Keycloak wurden im April 2024 mehrere schwerwiegende Sicherheitsmängel aufgedeckt. Diese betreffen insbesondere die Umleitungsfunktion (Redirect) bei Authentifizierungsanfragen.

Read More

Ivanti Avalanche behebt zahlreiche Sicherheitslücken

In der jüngsten Version 6.4.3 des Mobile Device Managmenet Tools Ivanti Avalanche wurden zahlreiche Sicherheitsverbesserungen vorgenommen und kritische Schwachstellen behoben.

Read More

OpenJS warnt vor Social-Engineering-Angriffen auf Open-Source-Projekte

Die Open Source Security (OpenSSF) und die OpenJS Foundation schlagen Alarm wegen einer Zunahme von Social-Engineering-Versuchen, die darauf abzielen, Kontrolle über Open-Source-Projekte zu erlangen. Diese Entwicklung folgt auf den kürzlichen Vorfall mit den XZ Utils, bei dem ein ähnlicher Angriff gerade noch rechtzeitig vereitelt werden konnte.

Read More