Go 1.13.1 のリリース【セキュリティ・アップデート】
Go 1.13.1 がリリースされた。
- [security] Go 1.13.1 and Go 1.12.10 are released - Google Group
- CVE-2019-16276 :
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N(Score:7.5, Severity:High)- CVE-2019-16276 - Red Hat Customer Portal :
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L(Score:6.3, Severity:Medium)
- CVE-2019-16276 - Red Hat Customer Portal :
今回はセキュリティ・アップデートを含んでいる。 Go 言語で Web サービスまたはクライアント・ツールを構築している人は要注意だ。
net/http(throughnet/textproto) used to accept and normalize invalid HTTP/1.1 headers with a space before the colon, in violation of RFC 7230. If a Go server is used behind an uncommon reverse proxy that accepts and forwards but doesn’t normalize such invalid headers, the reverse proxy and the server can interpret the headers differently. This can lead to filter bypasses or request smuggling, the latter if requests from separate clients are multiplexed onto the same upstream connection by the proxy. Such invalid headers are now rejected by Go servers, and passed without normalization to Go client applications.
Ubuntu の APT は相変わらずサポートから外れた 1.10.x しか対応していないのでダウンロードページからバイナリ(go1.13.1.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する。
$ cd /usr/local/src
$ sudo curl "https://dl.google.com/go/go1.13.1.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.13.1.linux-amd64.tar.gz
$ sudo mv go go1.13.1
$ sudo ln -s go1.13.1 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.13.1 linux/amd64
アップデートは計画的に。
ブックマーク
参考図書
- プログラミング言語Go
- アラン・ドノバン (著), ブライアン・カーニハン (著), 柴田芳樹 (著)
- 丸善出版 2016-06-20 (Release 2021-07-13)
- Kindle版
- B099928SJD (ASIN)
- 評価
Kindle 版出た! 一部内容が古びてしまったが,この本は Go 言語の教科書と言ってもいいだろう。感想はこちら。