（在说正事之前，我要推荐一个福利：你还在原价购买阿里云、腾讯云、华为云服务器吗？那太亏啦！来这里，新购、升级、续费都打折，能够为您省60%的钱呢！2核4G企业级云服务器低至69元/年，点击进去看看吧>>>)

12月14日，Mattermost与Golang团队发布了3个Go 语言XML 解析器安全漏洞。漏洞影响多个基于Go 的SAML 实现，可能引发完整的SAML 认证绕过。

XML 解析器不能保证完整性

下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果，也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果：

• CVE-2020-29509: Go的encoding/xml中XML 属性不稳定
• CVE-2020-29510: Go的encoding/xml中XML 指令不稳定
• CVE-2020-29511: Go的encoding/xml中XML 元素不稳定

这些漏洞是紧密相关的，其中核心的共性问题是：恶意伪造的XML markup可以通过GO的编解码实现在多轮通信中会发生变异(变化)。

Mattermost 产品安全工程师Nurminen 解释说，如果应用使用XML 解析器，那么编码器和解码器就不会保留原始markup的语义。

应用在处理XML 和解析不是之前解析和序列化的输出的markup时，就不能保证解析的输出和上一轮的输出是匹配的。换句话说，通过Go 的编码器和解码器传递XML 并不能保留其语义。

其中一个补丁也证明了由于这些漏洞，在XML 解析期间确实会发生不连续的情况。比如，`

SAML 认证绕过

这看起来是个简单的漏洞，虽然许多应用都希望能实现语义的完整性，但这些漏洞可能会引发严重的后果。

比如，攻击者可以触发利用上述XML 解析器的SAML 实现来绕过SAML 认证。Security Assertion Markup Language (SAML)是一种web认证标准，被许多主流网站和服务使用。由于这些漏洞，基于Go 的SAML实现可以被攻击者利用，通过注入恶意markup到正确签名的SAML消息中，这样看起来是经过正确签名的，但是其语义与原始文档就完全不同了。

对于SAML SSO系统来说，攻击者利用有漏洞的XML 解析器可能会引发权限提升或认证绕过。

目前没有补丁

目前，Go 安全团队已经发布安全公告，但是目前还没有补丁来快速修复这些安全漏洞。因为round-trip (多轮)稳定性并部署encoding/xml支持的安全特性，因此单单补丁本身也无法确保XML 解析的可靠性。

但是目前已经有多个基于Go 的SAML 项目发布了修复版本，比如：

• Dex IDP version 2.27.0
• github.com/crewjam/saml version 0.4.3
• github.com/russellhaering/gosaml2 version 0.6.0

更多技术细节参见：https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/

本文翻译自：

https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/