Katalog CVE

CVE-2026-27145

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.94%

Percentyl 57 - wyżej niż 57% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Go x509 powoduje kwadratowy wzrost kosztów weryfikacji nazwy hosta przy użyciu certyfikatów z dużą liczbą wpisów DNS SAN. Funkcja VerifyHostname wielokrotnie wywołuje strings.Split na tym samym hoście, co prowadzi do przeciążenia.

Ocena ryzyka

Atakujący może dostarczyć złośliwy certyfikat z wieloma wpisami SAN, powodując znaczne spowolnienie lub odmowę usługi (DoS) podczas weryfikacji, nawet przed zbudowaniem łańcucha certyfikatów.

Rekomendacja

Zaktualizuj bibliotekę Go do wersji zawierającej poprawkę optymalizującą weryfikację nazw hostów. Jeśli aktualizacja nie jest możliwa, ogranicz akceptację certyfikatów z dużą liczbą wpisów SAN.

Oryginalny opis (angielski, źródło NVD)

(*x509.Certificate).VerifyHostname previously called matchHostnames in a loop over all DNS Subject Alternative Name (SAN) entries. This caused strings.Split(host, ".") to execute repeatedly on the same input hostname. With a large DNS SAN list, verification costs scaled quadratically based on the number of SAN entries multiplied by the hostname's label count. Because x509.Verify validates hostnames before building the certificate chain, this overhead occurred even for untrusted certificates.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS