Go 1.16.5 のリリース【セキュリティ・アップデート】
Go 1.16.5 がリリースされた。
今回は4件の脆弱性修正を含んでいる。
go1.16.5 (released 2021-06-03) includes security fixes to the.archive/zip,math/big, net, andnet/http/httputilpackages, as well as bug fixes to the linker, the go command, and thenet/httppackage. See the Go 1.16.5 milestone on our issue tracker for details
CVE-2021-33198
The.SetStringandUnmarshalTextmethods ofmath/big.Ratmay cause a panic or an unrecoverable fatal error if passed inputs with very large exponents
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H- 深刻度: 重要 (Score: 7.5)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | なし |
| 完全性への影響 | なし |
| 可用性への影響 | 高 |
CVE-2021-33197
.ReverseProxyinnet/http/httputilcould be made to forward certain hop-by-hop headers, including Connection. In case the target of theReverseProxywas itself a reverse proxy, this would let an attacker drop arbitrary headers, including those set by theReverseProxy.Director
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N- 深刻度: 警告 (Score: 5.3)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | なし |
| 完全性への影響 | 低 |
| 可用性への影響 | なし |
CVE-2021-33195
The.LookupCNAME,LookupSRV,LookupMX,LookupNS, andLookupAddrfunctions innet, and their respective methods on theResolvertype may return arbitrary values retrieved from DNS which do not follow the established RFC 1035 rules for domain names. If these names are used without further sanitization, for instance unsafely included in HTML, they may allow for injection of unexpected content. Note thatLookupTXTmay still return arbitrary values that could require sanitization before further use
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L- 深刻度: 重要 (Score: 7.3)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 低 |
| 完全性への影響 | 低 |
| 可用性への影響 | 低 |
CVE-2021-33196
The.NewReaderandOpenReaderfunctions inarchive/zipcan cause a panic or an unrecoverable fatal error when reading an archive that claims to contain a large number of files, regardless of its actual size
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H- 深刻度: 重要 (Score: 7.5)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | なし |
| 完全性への影響 | なし |
| 可用性への影響 | 高 |
例によって…
Ubuntu の APT で管理している Go コンパイラは古いので,ダウンロードページからバイナリ(go1.16.5.linux-amd64.tar.gz)を取ってきて手動でインストールすることを強く推奨する。
以下は手動での作業例。
$ cd /usr/local/src
$ sudo curl -L "https://golang.org/dl/go1.16.5.linux-amd64.tar.gz" -O
$ cd ..
$ sudo unlink go # 以前の Go が入っている場合
$ sudo tar xvf src/go1.16.5.linux-amd64.tar.gz
$ sudo mv go go1.16.5
$ sudo ln -s go1.16.5 go
$ go version # /usr/local/go/bin にパスが通っている場合
go version go1.16.5 linux/amd64
アップデートは計画的に。
参考図書
- プログラミング言語Go (ADDISON-WESLEY PROFESSIONAL COMPUTING SERIES)
- Alan A.A. Donovan (著), Brian W. Kernighan (著), 柴田 芳樹 (翻訳)
- 丸善出版 2016-06-20
- 単行本(ソフトカバー)
- 4621300253 (ASIN), 9784621300251 (EAN), 4621300253 (ISBN)
- 評価
著者のひとりは(あの「バイブル」とも呼ばれる)通称 “K&R” の K のほうである。この本は Go 言語の教科書と言ってもいいだろう。と思ったら絶版状態らしい(2025-01 現在)。復刊を望む!