漏洞类型: 安全更新 (Security Update) 漏洞影响的组件: golang-go.crypto (Go的加密库) 相关CVE编号: - CVE-2019-11840 - CVE-2019-11841 - CVE-2020-9283 受影响的版本: - golang-go.crypto 1:0.0+git20181203.505ab14-1+deb10u1 漏洞描述: - CVE-2019-11840: 在golang-go包的附加加密库中发现了一个问题,如果生成的密钥流超过256GiB,amd64实现将首先生成错误输出,然后循环回到先前生成的密钥流。重复的密钥流字节可能导致加密应用中的机密性丢失,或者在CSPRNG应用中可预测性。 - CVE-2019-11841: 发现了一个消息伪造问题。由于加密库跳过了“哈希”Armor头解析,攻击者不仅可以在签名中嵌入任意Armor头,还可以在明文消息前添加任意文本而不使签名失效。 - CVE-2020-9283: 在golang.org/x/crypto/ssh包中的签名验证期间允许发生panic。客户端可以攻击接受公钥的SSH服务器,服务器也可以攻击任何SSH客户端。 修复措施: 为了修复上述问题,以下Go包已经被重新构建。 - rc1one、obfs4proxy、gobuster、restic、gopass、apity、dnscrypt-proxy、gitk、hub、acme-tool、syncthing、packer、etcd、notary 推荐升级: 建议升级golang-go.crypto包。 安全状态详细信息: 可通过安全跟踪器页面查看golang-go.crypto的安全状态 https://security-tracker.debian.org/tracker/golang-go.crypto