Go 1.14.7 のリリース【セキュリティ・アップデート】
週明けに予告されていたとおり, Go 1.14.7 がリリースされた。
以下のセキュリティ・アップデートを含んでいる。
【CVE-2020-16845】encoding/binary: ReadUvarint and ReadVarint can read an unlimited number of bytes from invalid inputs
Certain invalid inputs to.ReadUvarintorReadVarintcould cause those functions to read an unlimited number of bytes from theByteReaderargument before returning an error. This could lead to processing more input than expected when the caller is reading directly from a network and depends onReadUvarintandReadVarintonly consuming a small, bounded number of bytes, even from invalid inputs
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H- 深刻度: 重要 (7.5)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | なし |
| 完全性への影響 | なし |
| 可用性への影響 | 高 |
例によって
Ubuntu の APT で管理している Go コンパイラは古いので,ダウンロードページからバイナリ(go1.14.7.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する(もしくは自力でコンパイルするか)。
$ cd /usr/local/src
$ sudo curl -L "https://golang.org/dl/go1.14.7.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.14.7.linux-amd64.tar.gz
$ sudo mv go go1.14.7
$ sudo ln -s go1.14.7 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.14.7 linux/amd64
アップデートは計画的に。
参考図書
- プログラミング言語Go
- アラン・ドノバン (著), ブライアン・カーニハン (著), 柴田芳樹 (著)
- 丸善出版 2016-06-20 (Release 2021-07-13)
- Kindle版
- B099928SJD (ASIN)
- 評価
Kindle 版出た! 一部内容が古びてしまったが,この本は Go 言語の教科書と言ってもいいだろう。感想はこちら。