Bug 8384 - [UPDATE REQUEST 2016.1] golang 1.9.1
: [UPDATE REQUEST 2016.1] golang 1.9.1
Status: VERIFIED FIXED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: High critical
: ---
Assigned To: ROSA Linux Bugs
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2017-10-05 13:08 MSD by Алзим
Modified: 2017-10-09 09:53 MSD (History)
2 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:
vladimir.potapov: qa_verified+
andrey.bondrov: published+


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Алзим 2017-10-05 13:08:45 MSD
Опубликованы корректирующие выпуски языка программирования Go 1.8.4 и 1.9.1, в которых устранены две проблемы с безопасностью:

Возможность запуска стороннего кода при выполнении операций "go get" или "go get -d" над пакетами, размещёнными в специально оформленных вложенных репозиториях. Атакующий может разместить в репозитории Subversion (или другой системе управления версиями, отличной от Git), срез "git checkout", включающий набор хуков (.git/hooks/). При обработке такого репозитория указанные во вложенном Git-репозитории скрипты-обработчики будут выполнены на стороне клиента;

В пакете smtp устранена проблема, которая могла использоваться для перехвата паролей в открытом виде в результате MITM-атаки из-за применения метода PLAIN auth для незашифрованных соединений, если удалённый сервер заявляет о поддержке данного метода аутентификации. В новой версии действие PLAIN auth ограничено только TLS-сеансами и обращением к localhost.
Comment 1 Алзим 2017-10-05 13:10:19 MSD
Updated to 1.9.1
https://abf.io/build_lists/2899195
https://abf.io/build_lists/2899196
Comment 2 Vladimir Potapov 2017-10-09 06:58:50 MSD
golang-1.9.1-1
https://abf.io/build_lists/2899195
https://abf.io/build_lists/2899196
****************************** Advisory ***************************
Updated to 1.9.1
*******************************************************************
QA Verified