发布日期：2019-06-05
更新日期：2019-06-05

受影响系统：

golang Go 1.12.5
golang Go 1.12
golang Go 1.11.5
golang Go 1.11.4
golang Go 1.11.3
golang Go 1.11.2
golang Go 1.11.1
golang Go 1.11
golang Go 1.10.8
golang Go 1.10.7
golang Go 1.10.6
golang Go 1.10.5
golang Go 1.10.4
golang Go 1.10.3
golang Go 1.10.2
golang Go 1.10.1
golang Go 1.10
golang Go 1.1

描述：

---

BUGTRAQ  ID: 108444
CVE(CAN) ID: CVE-2019-11888

Go语言是由Google开发的一个开源项目，目的之一为了提高开发人员的编程效率。 Go语言语法灵活、简洁、清晰、高效。它对的并发特性可以方便地用于多核处理器 和网络开发，同时灵活新颖的类型系统可以方便地编写模块化的系统。go可以快速编译， 同时具有垃圾内存自动回收功能，并且还支持运行时反射。Go是一个高效、静态类型， 但是又具有解释语言的动态类型特征的系统级语法。
以前，传递nil环境但是非nil令牌会导致新的潜在无特权进程继承父级潜在特权环境，或者会导致新的潜在特权进程继承父级可能无特权的环境。无论哪种方式，都很糟糕。在前一种情况下，它是一个infoleak。在后一种情况下，它可能是EoP，因为像PATH这样的东西可能会被覆盖。目前未指定环境意味着“使用现有环境”。此提交修改了行为，“使用正在为其创建进程的令牌的现有环境。” 因此，在未指定令牌的情况下创建进程时，行为保持不变。在指定令牌时创建进程时它会做正确的事情。

<*来源：未知
  
  链接：https://go-review.googlesource.com/c/go/+/176619
*>

建议：

---

厂商补丁：

golang
------
golang已经为此发布了一个安全公告（12279fa）以及相应补丁:
12279fa：pass correct environment when creating Windows processes
链接：https://go-review.googlesource.com/c/go/+/176619

补丁下载：

浏览次数：1613
严重程度：0（网友投票）