Library “net” yang umum digunakan dalam bahasa Go dan Rust juga terpengaruh oleh kerentanan validasi alamat IP format campuran.
Bug tersebut berkaitan dengan bagaimana net memperlakukan alamat IP sebagai desimal, bahkan ketika disediakan dalam format campuran (oktal-desimal).
Akibatnya, aplikasi yang mengandalkan jaringan bisa rentan terhadap kerentanan Server-Side Request Forgery (SSRF) dan Remote File Inclusion (RFI) yang tidak dapat ditentukan.
Sebelumnya, cacat tersebut berdampak pada berbagai implementasi library netmask, yang diandalkan oleh ribuan aplikasi. Kemudian, library standar Python yang disebut ipaddress juga ditemukan rentan terhadap cacat tersebut.
Kerentanan, dilacak sebagai CVE-2021-29922 (untuk Rust) dan CVE-2021-29923 (untuk Golang) menyangkut bagaimana net menangani alamat IP format campuran, atau lebih khusus lagi ketika alamat IPv4 desimal berisi nol di depan.
Menurut pengelola proyek, modul net Golang akan memiliki tambalan yang dikeluarkan dalam (beta) versi 1.17.
Untuk Rust, perbaikan telah digabungkan di library net, seperti yang dikonfirmasi oleh BleepingComputer:
Selengkapnya: Bleeping Computer