Go 言語 1.6.1 および 1.5.4 のセキュリティ・アップデート

no extension

Go 言語に2つの脆弱性がある。 脆弱性に対処した 1.6.1 および 1.5.4 がリリースされている。

On Windows, Go loads system DLLs by name with LoadLibrary, making it vulnerable to DLL preloading attacks. For instance, if a user runs a Go executable from a Downloads folder, malicious DLL files also downloaded to that folder could be loaded into that executable.
This is CVE-2016-3958 and was addressed by this change: https://golang.org/cl/21428
via [security] Go 1.6.1 and 1.5.4 are released - Google グループ
Go's crypto libraries passed certain parameters unchecked to the underlying big integer library, possibly leading to extremely long-running computations, which in turn makes Go programs vulnerable to remote denial of service attacks. Programs using HTTPS client certificates or the Go SSH server libraries are both exposed to this vulnerability.
This is CVE-2016-3959 and was addressed by this change: https://golang.org/cl/21533
via [security] Go 1.6.1 and 1.5.4 are released - Google グループ

具体的に CVSS などを記述したページは見つからなかった。 が,順次更新する予定。

参考図書

photo
プログラミング言語Go
Alan A.A. Donovan Brian W. Kernighan 柴田 芳樹
丸善出版 2016-06-15

Go言語によるWebアプリケーション開発 マイクロサービスアーキテクチャ ハイパフォーマンスPython The Go Programming Language (Addison-Wesley Professional Computing Series) Vim script テクニックバイブル ~Vim使いの魔法の杖

著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。買おうかどうか悩み中。

reviewed by Spiegel on 2016-03-12 (powered by G-Tools)

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩
SBクリエイティブ 2015-08-25
評価

自作エミュレータで学ぶx86アーキテクチャ コンピュータが動く仕組みを徹底理解! 数学ガールの秘密ノート/丸い三角関数 数学ガールの秘密ノート/微分を追いかけて 情報セキュリティ白書2015: サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を 数学ガールの秘密ノート/数列の広場

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by G-Tools)