Argument Injection Schwachstelle in Go Download Bibliothek go-getter
HashiCorp, ein führender Anbieter von Infrastrukturautomatisierung für Multi-Cloud-Umgebungen, hat eine Sicherheitswarnung für seine Go Download Bibliothek go-getter herausgegeben. Ein Argument Injection Problem, das beim Auffinden von Standard-Git-Zweigen auf Remote-Servern auftritt, wurde identifiziert und trägt die Kennung CVE-2024-3817 (CVSS 9.8 / 10).
Diese Sicherheitsanfälligkeit betrifft go-getter Versionen 1.5.9 bis 1.7.3 und wurde in der Version 1.7.4 behoben. Die Schwachstelle wurde am 17. April 2024 veröffentlicht. Es ist zu beachten, dass die go-getter/v2 Verzweigung und das entsprechende Paket nicht von dieser Problematik betroffen sind.
Die go-getter Bibliothek wird in der Programmiersprache Go verwendet, um Dateien oder Verzeichnisse von verschiedenen Quellen mittels URL herunterzuladen. Wenn kein Git-Referenz zusammen mit der Git-URL übermittelt wird, versucht go-getter, die HEAD-Referenz des Standardzweigs im Remote-Repository durch Übergabe von Argumenten an das Git-Binary auf dem ausführenden Host zu ermitteln. Dies könnte es einem Angreifer ermöglichen, eine Git-URL so zu formatieren, dass zusätzliche Git-Argumente in den Git-Aufruf eingeschleust werden.
Nutzer der go-getter Bibliothek sollten die Risiken, die mit diesen Problemen im Kontext ihrer go-getter Nutzung verbunden sind, bewerten und go-getter auf Version 1.7.4 oder höher aktualisieren. Die neuesten Releases von go-getter können auf der GitHub-Seite von hashicorp/go-getter eingesehen werden.