Опубликованы корректирующие выпуски языка программирования
Go 1.11.5 и 1.10.8, в которых устранена
уязвимость (
CVE-2019-6486) в модуле
crypto. Проблема вызвана недоработкой в реализации эллиптических кривых (P-521 и P-384), которая может использоваться для инициирования отказа в обслуживании (создание большой нагрузки на CPU). Не исключается и потенциальная возможность использования проблемы для создания атак, осуществляющих воссоздание закрытого ключа ECDH, если он повторно используется больше одного раза.
Уязвимость может быть эксплуатирована в приложениях, обрабатывающих поступающие извне сертификаты X.509, цифровые подписи ECDSA и JWT-токены. Атака также может быть совершена при обработке клиентскими или серверными приложениями протоколов на базе ECDH и соединений TLS (с использованием реализации TLS на языке Go). В дистрибутивах проблема пока остаётся неисправленной (Debian, RHEL/EPEL, Fedora, SUSE, Ubuntu, FreeBSD)
