Go 1.12.8 がリリース【セキュリティ・アップデート】
Go 1.12.8 がリリースされた。
今回はセキュリティ・アップデートを含んでいる。 Go 言語で Web サービスを構築している人は要注意だ。
net/http: Denial of Service vulnerabilities in the HTTP/2 implementation
net/httpandgolang.org/x/net/http2servers that accept direct connections from untrusted clients could be remotely made to allocate an unlimited amount of memory, until the program crashes. Servers will now close connections if the send queue accumulates too many control messages. The issues are CVE-2019-9512 and CVE-2019-9514, and Go issue golang.org/issue/33606.
Netflix の中の人,ありがとう。
net/url: parsing validation issue
url.Parsewould accept URLs with malformed hosts, such that the Host field could have arbitrary suffixes that would appear in neitherHostname()norPort(), allowing authorization bypasses in certain applications. Note that URLs with invalid, not numeric ports will now return an error from url.Parse. The issue is CVE-2019-14809 and Go issue golang.org/issue/29098.
アップデートは計画的に
Ubuntu の APT は相変わらずサポートから外れた 1.10 しか対応していないのでダウンロードページからバイナリ(go1.12.8.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する。
$ cd /usr/local/src
$ sudo curl "https://dl.google.com/go/go1.12.8.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.12.8.linux-amd64.tar.gz
$ sudo mv go go1.12.8
$ sudo ln -s go1.12.8 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.12.8 linux/amd64
アップデートは計画的に。 時期的に次は 1.13 のリリースかな。
ブックマーク
参考図書
- プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
- Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
- 丸善出版 2016-06-20
- 単行本(ソフトカバー)
- 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN)
- 評価
著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい(2025-01 現在)。復刊を望む!
- 改訂2版 みんなのGo言語
- 松木 雅幸 (著), mattn (著), 藤原 俊一郎 (著), 中島 大一 (著), 上田 拓也 (著), 牧 大輔 (著), 鈴木 健太 (著)
- 技術評論社 2019-08-01 (Release 2019-08-01)
- Kindle版
- B07VPSXF6N (ASIN)
- 評価
改訂2版の目玉は7章の「データベースの扱い方」が追加されたことだろう。他の章では,大まかな構成は1版と同じだが細かい部分が変わっていて Go 1.12 への言及まであるのには驚いた。