Обновление языка Go 1.11.5 и 1.10.8 с устранением уязвимости
Опубликованы корректирующие выпуски языка программирования Go 1.11.5 и 1.10.8, в которых устранена уязвимость (CVE-2019-6486) в модуле crypto. Проблема вызвана недоработкой в реализации эллиптических кривых (P-521 и P-384), которая может использоваться для инициирования отказа в обслуживании (создание большой нагрузки на CPU). Не исключается и потенциальная возможность использования проблемы для атак по воссозданию закрытого ключа ECDH, если он повторно используется больше одного раза.
Уязвимость может быть эксплуатирована в приложениях, обрабатывающих поступающие извне сертификаты X.509, цифровые подписи ECDSA и JWT-токены. Атака также может быть совершена при обработке клиентскими или серверными приложениями соединений TLS и протоколов на базе ECDH. В дистрибутивах проблема пока остается неисправленной (Debian, RHEL/EPEL, Fedora, SUSE, Ubuntu, FreeBSD)
