golang.org/x/net/html パッケージの脆弱性報告

no extension

標準ではないが公式の golang.org/x/net パッケージに脆弱性が見つかったそうで,更新を呼びかけている。

Version v0.0.0-20210520170846-37e1c6afe023 of golang.org/x/net fixes a vulnerability in the golang.org/x/net/html package which could cause a denial of service.

An attacker can craft an input to ParseFragment that would cause it to enter an infinite loop and never return.

CVE-2021-33194

  • CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
  • 深刻度: 警告 (Score: 5.9)
基本評価基準 評価値
攻撃元区分 ネットワーク
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル 不要
スコープ 変更なし
機密性への影響 なし
完全性への影響 なし
可用性への影響

アップデートは計画的に。

余談だが

『プログラミング言語Go』の Kindle 版がリリースされたそうだ。

もちろん紙の本も持っているが Kindle 版もソッコーでポチった。 この手の本は使い倒してナンボだと思うので,使いやすいほうでどうぞ。 紙の本を買った当時の感想はこちら

参考図書

photo
プログラミング言語Go
アラン・ドノバン (著), ブライアン・カーニハン (著), 柴田芳樹 (著)
丸善出版 2016-06-20 (Release 2021-07-13)
Kindle版
B099928SJD (ASIN)
評価     

Kindle 版出た! 一部内容が古びてしまったが,この本は Go 言語の教科書と言ってもいいだろう。感想はこちら

reviewed by Spiegel on 2021-05-22 (powered by PA-APIv5)