Go HTTP_PROXY环境变量安全漏洞(CVE-2016-5386)
Go HTTP_PROXY环境变量安全漏洞(CVE-2016-5386)
Go HTTP_PROXY环境变量安全漏洞(CVE-2016-5386)
发布日期:2016-07-17
更新日期:2016-07-19
受影响系统:
Go Go < 1.6
描述:
CVE(CAN) ID: CVE-2016-5386
Go,又称golang,是Google开发的一种静态强类型、编译型,并发型,并具有垃圾回收功能的编程语言。
Go < 1.6版本net/http软件包,RFC 3875 section 4.1.18存在命名空间冲突,HTTP_PROXY环境变量未能过滤构造的客户端数据。远程攻击者构造HTTP请求的Proxy标头,可将应用的HTTP数据流重定向到任意代理服务器。
<*来源:Kurt Seifried (kurt@seifried.org)
*>
建议:
厂商补丁:
Go
--
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://golang.org/
参考:
https://httpoxy.org/
http://www.kb.cert.org/vuls/id/797896
https://bugzilla.redhat.com/show_bug.cgi?id=1353798
Linux系统入门学习-在Linux中安装Go语言
Ubuntu 安装Go语言包
《Go语言编程》高清完整版电子书
Go语言并行之美 -- 超越 “Hello World”
我为什么喜欢Go语言
Go语言内存分配器的实现
本文永久更新链接地址:
评论暂时关闭