12月14日，Mattermost与Golang团队发布了3个Go 语言XML 解析器安全漏洞。漏洞影响多个基于Go 的SAML 实现，可能引发完整的SAML 认证绕过。

　　XML 解析器不能保证完整性

　　下面列出的Golang XML 语言解析器漏洞导致在编码和解码XML 输入时并不会返回可靠的结果，也就是说XML markup(标记)在使用解析器进行编码器时会返回不连续的、意外的结果：

　　CVE-2020-29509: Go的encoding/xml中XML 属性不稳定

　　CVE-2020-29510: Go的encoding/xml中XML 指令不稳定

　　CVE-2020-29511: Go的encoding/xml中XML 元素不稳定

　　这些漏洞是紧密相关的，其中核心的共性问题是：恶意伪造的XML markup可以通过GO的编解码实现在多轮通信中会发生变异(变化)。

　　Mattermost 产品安全工程师Nurminen 解释说，如果应用使用XML 解析器，那么编码器和解码器就不会保留原始markup的语义。

　　应用在处理XML 和解析不是之前解析和序列化的输出的markup时，就不能保证解析的输出和上一轮的输出是匹配的。换句话说，通过Go 的编码器和解码器传递XML 并不能保留其语义。

　　其中一个补丁也证明了由于这些漏洞，在XML 解析期间确实会发生不连续的情况。比如，`

　　SAML 认证绕过

　　这看起来是个简单的漏洞，虽然许多应用都希望能实现语义的完整性，但这些漏洞可能会引发严重的后果。

　　比如，攻击者可以触发利用上述XML 解析器的SAML 实现来绕过SAML 认证。Security Assertion Markup Language (SAML)是一种web认证标准，被许多主流网站和服务使用。由于这些漏洞，基于Go 的SAML实现可以被攻击者利用，通过注入恶意markup到正确签名的SAML消息中，这样看起来是经过正确签名的，但是其语义与原始文档就完全不同了。

　　对于SAML SSO系统来说，攻击者利用有漏洞的XML 解析器可能会引发权限提升或认证绕过。

　　目前没有补丁

　　目前，Go 安全团队已经发布安全公告，但是目前还没有补丁来快速修复这些安全漏洞。因为round-trip (多轮)稳定性并部署encoding/xml支持的安全特性，因此单单补丁本身也无法确保XML 解析的可靠性。

　　但是目前已经有多个基于Go 的SAML 项目发布了修复版本，比如：

　　Dex IDP version 2.27.0

　　github.com/crewjam/saml version 0.4.3

　　github.com/russellhaering/gosaml2 version 0.6.0

　　更多技术细节参见：https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/

　　责任编辑：张华