【Golang】x/crypto/ssh存在通过SSH服务器出现崩溃的漏洞【Go 1.16】

2 年 ago
逸, 科
1 minute

GitHub Dependabot 的漏洞警报

我只是一个微不足道的小小Go包裹,竟然做出了这样的东西。

スクリーンショット 2023-02-19 11.21.14.png

尽管主要的程序包没有使用x/crypto/ssh,但有些依赖程序包使用了它。

换言之,听说间接引用的golang.org/x/crypto存在漏洞(CVE-2021-43565)。

只需要一种选择,用中文重新表达以下内容:
如果升级 golang.org/x/crypto 的版本就好了,但由于依赖包不升级版本,如果没有 go.sum 文件,则执行 go tidy 会恢复到旧版本。

总结:(今北产业)

    1. 尝试使用”go get -u golang.org/x/crypto && go mod tidy”正常更新。

 

    1. 如果无法更新(版本被退回),请尝试以下方法。

向依赖包的管理员请求更新go.mod文件。
在我的go.mod文件中,明确使用已打过补丁的版本。

示例明确版本的go.mod:

go.mod
module github.com/KEINOS/example

go 1.16

require (
github.com/labstack/gommon v0.4.0
github.com/mkideal/cli v0.2.7
github.com/pkg/errors v0.9.1
github.com/stretchr/testify v1.8.1
github.com/zenizh/go-capturer v0.0.0-20211219060012-52ea6c8fed04
)

+ // 修复CVE-2021-43565(不要忘记更新到最新版本)
+ require golang.org/x/crypto v0.0.0-20220314234659-1baeb1ce4c0b // indirect

如果依赖的 go.mod 和 go.sum 文件长时间未进行维护且未得到任何响应,可以采取以下对策。

广告
将在 10 秒后关闭
bannerAds