【セキュリティ・アップデート】 golang.org/x/crypto/ssh

no extension

golang.org/x/crypto/ssh パッケージについてアップデートのアナウンスがあった。

セキュリティ・アップデートを含んでいるので利用者は要注意である。

An attacker can craft an ssh-ed25519 or sk-ssh-ed25519@openssh.com public key, such that the library will panic when trying to verify a signature with it. Clients can deliver such a public key and signature to any golang.org/x/crypto/ssh server with a PublicKeyCallback, and servers can deliver them to any golang.org/x/crypto/ssh client.
via Vulnerability in golang.org/x/crypto/ssh

CVE-2020-9283

未稿

go.mod に注意

他パッケージを go.md ファイルでモジュールとして管理している場合はバージョンに要注意。 とりあえず latest をセットして最新バージョンに差し替えればいいだろう。

アップデートは計画的に。

参考図書

photo
プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
丸善出版 2016-06-20
単行本(ソフトカバー)
4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN), 9784621300251 (ISBN)
評価     

著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。

reviewed by Spiegel on 2016-07-13 (powered by PA-APIv5)