hace 2 meses · Actualizado hace 2 meses
Como informa BSI, la alerta de seguridad de TI recibió una actualización sobre una vulnerabilidad conocida en Golang Go (x/net/html). Puede leer aquí en news.de qué productos se ven afectados por la brecha de seguridad.
Oficina Federal de Seguridad en Tecnología de la Información (BSI) publicó una actualización el 5 de enero de 2025 para una vulnerabilidad de seguridad en Golang Go (x/net/html) que se conoció el 18 de diciembre de 2024. Los sistemas operativos Linux, MacOS X y Windows, así como los productos Fedora Linux, SUSE openSUSE y Golang Go se ven afectados por la vulnerabilidad de seguridad.
Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Fedora FEDORA-2025-0620FDEBB6 (A partir del 5 de enero de 2025). Otros enlaces útiles se enumeran más adelante en este artículo.
- Aviso de seguridad para Golang Go (x/net/html) - Riesgo: medio
- Error de Golang Go (x/net/html): la vulnerabilidad permite la denegación de servicio
- Sistemas afectados por vulnerabilidades de seguridad de un vistazo
- Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Fuentes de actualizaciones, parches y correcciones
- La fecha de revisión de este aviso de seguridad.
Aviso de seguridad para Golang Go (x/net/html) - Riesgo: medio
Nivel de riesgo: 3 (medio)
Cláusula básica CVSS: 5.3
Puntuación provisional CVSS: 4,6
Ataque a distancia: Sí
El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes métricas para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. Además del punto temporal, en la evaluación se consideran las condiciones contextuales que pueden cambiar con el tiempo. El riesgo de malignidad que se analiza aquí se clasifica como "moderado" según el CVSS con una puntuación base de 5,3.
Error de Golang Go (x/net/html): la vulnerabilidad permite la denegación de servicio
Go es un lenguaje de programación de código abierto.
Un atacante remoto y desconocido podría aprovechar una vulnerabilidad en Golang Go en el paquete "x/net/html" para lanzar un ataque de denegación de servicio.
A la vulnerabilidad se le asignó el número de serie CVE-2024-45338 utilizando el sistema de nombres CVE (Common Vulnerabilities and Developments).
Sistemas afectados por vulnerabilidades de seguridad de un vistazo
sistemas operativos
Linux, Mac OS X, Windows
Productos
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE openSUSE (cpe:/o:suse:opensuse)
Golang Go x/net/html <0.33.0 (cpe:/a:golang:go)
Golang Go x/net/html 0.33.0 (cpe:/a:golang:go)
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
- Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
- Para obtener información, consulte los recursos enumerados en la siguiente sección. Generalmente incluyen más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
- Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos especificados para ver si hay una nueva actualización de seguridad disponible.
Fuentes de actualizaciones, parches y correcciones
Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.
Aviso de seguridad de Fedora FEDORA-2025-0620FDEBB6 2025-01-05 (01.05.2025)
Puede encontrar más información aquí:
Actualización de seguridad de OpenSUSE OPENSUSE-SU-2024:14603-1 con fecha del 20 de diciembre de 2024 (22 de diciembre de 2024)
Puede encontrar más información aquí:
Base de datos GitHub (18.12.2024)
Puede encontrar más información aquí:
Ir al número 70906 desde el 2024-12-18 (18.12.2024)
Puede encontrar más información aquí:
La fecha de revisión de este aviso de seguridad.
Esta es la tercera versión de este aviso de seguridad de TI para Golang Go (x/net/html). Esta publicación se actualizará cuando se anuncien más actualizaciones. Puede ver los cambios realizados utilizando el historial de versiones a continuación.
18 de diciembre de 2024 - Versión inicial
22/12/2024 - Se agregaron nuevas actualizaciones de openSUSE
01.05.2025 - Se agregaron nuevas actualizaciones de Fedora
Más noticias