Go 1.13.7 のリリース【セキュリティ・アップデート】

no extension

先週の予告どおり Go 1.13.7 がリリースされた。

2件のセキュリティ・アップデートを含んでいる。

CVE-2020-0601】 X.509 certificate validation bypass on Windows 10

A Windows vulnerability allows attackers to spoof valid certificate chains when the system root store is in use. These releases include a mitigation for Go applications, but it’s strongly recommended that affected users install the Windows security update to protect their system.
This issue is CVE-2020-0601 and Go issue golang.org/issue/36834.
via [security] Go 1.13.7 and Go 1.12.16 are released

と書かれている通り,今回の Go 側の措置は「低減(mitigation)」に過ぎないので,必ず Windows Update を適用すること。 Win7 ユーザはとっとと Win10 に乗り換えるか有償サポートを受けるか Windows を捨てるかしましょう。

基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル
スコープ 変更なし
機密性への影響
完全性への影響
可用性への影響 なし
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N (基本スコア:8.1 [重要])

CVE-2020-7919】 Panic in crypto/x509 certificate parsing and golang.org/x/crypto/cryptobyte

On 32-bit architectures, a malformed input to crypto/x509 or the ASN.1 parsing functions of golang.org/x/crypto/cryptobyte can lead to a panic. The malformed certificate can be delivered via a crypto/tls connection to a client, or to a server that accepts client certificates. net/http clients can be made to crash by an HTTPS server, while net/http servers that accept client certificates will recover the panic and are unaffected.
Thanks to Project Wycheproof for providing the test cases that led to the discovery of this issue.
The issue is CVE-2020-7919 and Go issue golang.org/issue/36837.
This is also fixed in version v0.0.0-20200124225646-8b5121be2f68 of golang.org/x/crypto/cryptobyte.
via [security] Go 1.13.7 and Go 1.12.16 are released

Go に限らず,今後32ビット・アーキテクチャにおける不備は増えていくんだろうねぇ。

基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響 なし
完全性への影響 なし
可用性への影響
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H (基本スコア:7.5 [重要])

例によって

Ubuntu の APT で管理している Go コンパイラは古いので,ダウンロードページからバイナリ(go1.13.7.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する。

$ cd /usr/local/src
$ sudo curl "https://dl.google.com/go/go1.13.7.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.13.7.linux-amd64.tar.gz
$ sudo mv go go1.13.7
$ sudo ln -s go1.13.7 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.13.7 linux/amd64

アップデートは計画的に。

参考図書

photo
プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
丸善出版 2016-06-20
単行本(ソフトカバー)
4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN), 9784621300251 (ISBN)
評価     

著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。

reviewed by Spiegel on 2016-07-13 (powered by PA-APIv5)