Go 1.14.5 のリリース【セキュリティ・アップデート】

no extension

先週予告されていたとおり, Go 1.14.5 がリリースされた。

2件のセキュリティ・アップデートを含んでいる。

CVE-2020-15586】 Data race in certain net/http servers including ReverseProxy

Servers where the Handler concurrently reads the request body and writes a response can encounter a data race and crash. The httputil.ReverseProxy Handler is affected.
Thanks to Mikael Manukyan, Andrew Kutz, Dave McClure, Tim Downey, Clay Kauzlaric, and Gabe Rosenhouse for reporting this issue. This issue is CVE-2020-15586 and Go issue golang.org/issue/34902.
  • CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
  • 深刻度: 警告 (5.9)
基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響 なし
完全性への影響 なし
可用性への影響

CVE-2020-14039】 X.509 verification ignores provided EKUs on Windows

On Windows, if VerifyOptions.Roots is nil, Certificate.Verify does not check the EKU requirements specified in VerifyOptions.KeyUsages. Thanks to Niall Newman for reporting this issue. This issue is CVE-2020-14039 and Go issue golang.org/issue/39360.
  • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
  • 深刻度: 警告 (5.3)
基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響 なし
完全性への影響
可用性への影響 なし

例によって

Ubuntu の APT で管理している Go コンパイラは古いので,ダウンロードページからバイナリ(go1.14.5.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する(もしくは自力でコンパイルするか)。

$ cd /usr/local/src
$ sudo curl -L "https://golang.org/dl/go1.14.5.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.14.5.linux-amd64.tar.gz
$ sudo mv go go1.14.5
$ sudo ln -s go1.14.5 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.14.5 linux/amd64

アップデートは計画的に。

参考図書

photo
プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
丸善出版 2016-06-20
単行本(ソフトカバー)
4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN)
評価     

著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい(2025-01 現在)。復刊を望む!

reviewed by Spiegel on 2016-07-13 (powered by PA-APIv5)