Go 1.13.1 のリリース【セキュリティ・アップデート】
Go 1.13.1 がリリースされた。
- [security] Go 1.13.1 and Go 1.12.10 are released - Google Group
- CVE-2019-16276 :
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N(Score:7.5, Severity:High)- CVE-2019-16276 - Red Hat Customer Portal :
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L(Score:6.3, Severity:Medium)
- CVE-2019-16276 - Red Hat Customer Portal :
今回はセキュリティ・アップデートを含んでいる。 Go 言語で Web サービスまたはクライアント・ツールを構築している人は要注意だ。
net/http(throughnet/textproto) used to accept and normalize invalid HTTP/1.1 headers with a space before the colon, in violation of RFC 7230. If a Go server is used behind an uncommon reverse proxy that accepts and forwards but doesn’t normalize such invalid headers, the reverse proxy and the server can interpret the headers differently. This can lead to filter bypasses or request smuggling, the latter if requests from separate clients are multiplexed onto the same upstream connection by the proxy. Such invalid headers are now rejected by Go servers, and passed without normalization to Go client applications.
Ubuntu の APT は相変わらずサポートから外れた 1.10.x しか対応していないのでダウンロードページからバイナリ(go1.13.1.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する。
$ cd /usr/local/src
$ sudo curl "https://dl.google.com/go/go1.13.1.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.13.1.linux-amd64.tar.gz
$ sudo mv go go1.13.1
$ sudo ln -s go1.13.1 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.13.1 linux/amd64
アップデートは計画的に。
ブックマーク
参考図書
- プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
- Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
- 丸善出版 2016-06-20
- 単行本(ソフトカバー)
- 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN)
- 評価
著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい(2025-01 現在)。復刊を望む!