Golang XML分析器漏洞可引发SAML认证绕过
发布时间:2022-09-02 11:31:28 所属栏目:安全 来源:互联网
导读:XML 解析器不能保证完整性 下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果,也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果: CVE-2020-29509: Go的encoding/xml中XML 属性不稳定 CVE-2
|
XML 解析器不能保证完整性 下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果,也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果: CVE-2020-29509: Go的encoding/xml中XML 属性不稳定 CVE-2020-29510: Go的encoding/xml中XML 指令不稳定 CVE-2020-29511: Go的encoding/xml中XML 元素不稳定 这些漏洞是紧密相关的,其中核心的共性问题是:恶意伪造的XML markup可以通过GO的编解码实现在多轮通信中会发生变异(变化)。 Mattermost 产品安全工程师Nurminen 解释说,如果应用使用XML 解析器,那么编码器和解码器就不会保留原始markup的语义。 应用在处理XML 和解析不是之前解析和序列化的输出的markup时,就不能保证解析的输出和上一轮的输出是匹配的。换句话说,通过Go 的编码器和解码器传递XML 并不能保留其语义。 其中一个补丁也证明了由于这些漏洞,在XML 解析期间确实会发生不连续的情况。比如,` 目前没有补丁 目前,Go 安全团队已经发布安全公告,但是目前还没有补丁来快速修复这些安全漏洞。因为round-trip (多轮)稳定性并部署encoding/xml支持的安全特性,因此单单补丁本身也无法确保XML 解析的可靠性。  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号