发布日期：2023-12-06
更新日期：2023-12-18

受影响系统：

Google Golang >= go1.21.0-0
Google Golang < go1.21.5
Google Golang < go1.20.12

描述：

---

CVE(CAN) ID: CVE-2023-45285

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言，Go的语法接近C语言，但对于变量的声明有所不同，Go支持垃圾回收功能。
Google Golang go1.20.1版本之前、go1.21.0-0至go1.21.5版本之前存在信息泄露漏洞，该漏洞源于如果无法通过安全的https和git+ssh方式获取模块，则使用go get获取带有 .git后缀的模块可能会回退到不安全的git协议，攻击者可利用该漏洞获取模块的敏感信息，例如模块的代码、配置文件等，从而了解系统架构和可能的攻击路径。

<*链接：https://pkg.go.dev/vuln/GO-2023-2383
*>

建议：

---

厂商补丁：

Google
------
Google已经为此发布了一个安全公告（Dec 06, 2023）以及相应补丁:
Dec 06, 2023：Vulnerability Report: GO-2023-2383
链接：https://pkg.go.dev/vuln/GO-2023-2383

浏览次数：305
严重程度：0（网友投票）