帰ってきた「しっぽのさきっちょ」

しっぽのさきっちょ: 2015-09-25 付

セキュリティ脆弱性を修正した Go 1.4.3 がリリース

no extension
The issues were reported in Go's net/http package. They affect programs using that package to proxy HTTP requests. We recommend that all users upgrade to Go 1.5, which fixes these issues. For users unable to upgrade to Go 1.5, we have released version 1.4.3, which is based on Go 1.4.2 plus fixes for these issues. Affected Go programs—those that use the net/http package as a proxy server—must be recompiled with Go 1.5 or Go 1.4.3 to receive the fixes.
via Go 1.4.3 is released (security fix) - Google グループ

というわけで Go 言語net/http パッケージに脆弱性が発見された模様。

net/http パッケージを使っている製品は最新バージョンで再コンパイルすること(パッケージ間の依存関係に注意)。 可能であれば 1.5 系を使うのが望ましい。 諸事情で 1.5 系が使えない場合は,リリースされた 1.4.3 を使ってもよい。

影響度(CVSS)

CVSS 基本評価値 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P) (暫定値)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 中(M)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) 部分的(P)
情報改ざんの可能性(完全性への影響, I) 部分的(P)
業務停止の可能性(可用性への影響, A) 部分的(P)
CVSSv2 基本評価値

CVSS についてはデモページを参照のこと。

参考