В Банке данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость языка программирования Go, получившая идентификаторы BDU:2026-07250 и CVE-2026-27143. Проблема затрагивает широкий спектр продуктов американской компании Red Hat, а также российскую операционную систему "РЕД ОС" версии 8.0. Учитывая, что Go активно используется для разработки сетевых сервисов и критической инфраструктуры, масштаб угрозы сложно переоценить.
Детали уязвимости
Суть уязвимости кроется в неверных вычислениях - речь идет об ошибке класса CWE-682 в исходном коде самого языка Go. Злоумышленник, действующий удаленно, может отправить специально сформированный запрос. В результате система перестает отвечать на легитимные обращения, то есть происходит отказ в обслуживании. Впрочем, реальный уровень опасности оказался куда выше, чем следует из формального описания. Базовый вектор CVSS 3.1 получил оценку 9,8 балла из десяти возможных, что соответствует критическому уровню. Это означает, что атакующий может не просто нарушить работу сервиса, но и добиться полного контроля над конфиденциальностью, целостностью и доступностью данных.
В чем же причина такого расхождения? Дело в том, что тип ошибки "неверные вычисления" может проявляться по-разному в разных версиях среды выполнения Go. В некоторых сценариях это приводит к аварийному завершению процесса. Однако, как показывают данные производителя, в ряде конфигураций уязвимость допускает выполнение произвольного кода с привилегиями самого приложения. Именно поэтому оценка по шкале CVSS 2.0 достигла максимальных десяти баллов, а по версии 3.1 - 9,8.
Перечень уязвимых продуктов впечатляет своим охватом. Под удар попали Red Hat Enterprise Linux версий 8, 9, 10, а также расширенные версии поддержки (Extended Update Support) для девятой и десятой веток. Кроме того, уязвимость обнаружена в платформе OpenShift Service Mesh версии 2, в решении Red Hat Enterprise Linux AI (версия 3) и в Red Hat Hardened Images - специализированных образах для защищенных сред. Отдельно стоит отметить, что среди пострадавших оказалась отечественная ОС "РЕД ОС" версии 8.0, которая включена в единый реестр российского программного обеспечения под номером 3751.
Наиболее критичными являются версии самого языка Go до 1.26.2 включительно. Именно в более ранних сборках присутствует дефект вычислений. Команда разработчиков Go уже выпустила исправление, которое доступно по официальным ссылкам на go.dev. Для продуктов Red Hat патчи распространяются через портал access.redhat.com. Российские пользователи "РЕД ОС" могут получить обновление на официальном сайте разработчика - red-soft.ru.
Сложность эксплуатации уязвимости оценивается как невысокая. Для атаки не требуются какие-либо особые привилегии, не нужно взаимодействие с пользователем. Вектор атаки - сетевой. Это означает, что злоумышленник может находиться где угодно в интернете, главное - чтобы целевой сервер был доступен по сети. Фактор способа эксплуатации в документации BDU указан как "манипулирование структурами данных". Вредоносный код, использующий уязвимость, может быть доставлен через сериализованные объекты, специально подготовленные HTTP-запросы или через манипуляции с библиотеками времени выполнения.
На данный момент подтверждено, что производитель признал наличие проблемы. Статус уязвимости - "подтверждена производителем". Информация о наличии готового эксплойта пока уточняется, но, учитывая критическую оценку CVSS, можно предположить, что исследователи безопасности активно работают над созданием Proof of Concept. Исторически сложилось так, что уязвимости в Go привлекают внимание хакерского сообщества, и публичный эксплойт может появиться в ближайшее время.
Что это означает для практикующих специалистов по информационной безопасности? Прежде всего, необходимо в кратчайшие сроки обновить язык Go до версии 1.26.2 или новее на всех серверах, где выполняются приложения, написанные на этом языке. Особое внимание стоит уделить системам, работающим под управлением Red Hat Enterprise Linux и "РЕД ОС". Платформы OpenShift Service Mesh и системы на базе Red Hat Enterprise Linux AI также требуют немедленного патчинга. Процедура обновления не должна вызывать сложностей, так как исправление выпущено официально и доступно через стандартные каналы обновлений.
Вместе с тем стоит помнить, что даже после установки патча необходимо провести аудит инфраструктуры. Уязвимость могла быть использована для закрепления в системе (persistence), и простое обновление не удалит уже внедренную вредоносную нагрузку. Рекомендуется проверить журналы событий на предмет подозрительной активности, особенно в период с апреля 2026 года до момента установки обновления.
В итоге, CVE-2026-27143 представляет собой классический пример того, как ошибка в вычислениях в популярном языке программирования может поставить под удар целые экосистемы корпоративного программного обеспечения. И американские, и российские вендоры оказались в равной степени уязвимы перед этой проблемой. Хорошая новость в том, что патчи уже доступны, и у администраторов есть все инструменты, чтобы нейтрализовать угрозу.
Ссылки
- https://bdu.fstec.ru/vul/2026-07250
- https://www.cve.org/CVERecord?id=CVE-2026-27143
- https://go.dev/cl/763765https://go.dev/issue/78333
- https://groups.google.com/g/golang-announce/c/0uYbvbPZRWU
- https://nvd.nist.gov/vuln/detail/CVE-2026-27143
- https://pkg.go.dev/vuln/GO-2026-4868
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-27143
- https://access.redhat.com/security/cve/cve-2026-27143
