[CVE-2020-9283] 同学，您这个项目引入了39个开源组件，存在3个漏洞，辛苦升级一下

[ghost]

检测到 marcus-crane/khinsider 一共引入了39个开源组件，存在3个漏洞

漏洞标题：Go SSH拒绝服务漏洞
缺陷组件：golang.org/x/crypto@v0.0.0-20191011191535-87dc89f01550
漏洞编号：CVE-2020-9283
漏洞描述：Go SSH是一个使用go语言开发的极度简洁的ssh工具，用于远程管理linux、unix等机器。
Go SSH存在拒绝服务漏洞，该漏洞源于网络系统或产品未对输入的数据进行正确的验证，攻击者可利用该漏洞导致拒绝服务条件，拒绝向合法用户提供服务。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2020-14300
影响范围：(∞, 0.0.0-20200220183623-bac4c82f6975)
最小修复版本：0.0.0-20200220183623-bac4c82f6975
缺陷组件引入路径：github.com/marcus-crane/khinsider/v2@->golang.org/x/crypto@v0.0.0-20191011191535-87dc89f01550

另外还有3个漏洞，详细报告：https://mofeisec.com/jr?p=a8693e

[marcus-crane]

Hi there,

Thanks for your report but I don't use golang.org/x/crypto as a direct dependency ie; as something exposed to users that can be exploited.

The exploit mentioned is around being ssh signature verifcation. khinsider doesn't deal with ssh keys, directly or indirectly.