Go 1.13.7 リリース予告と CVE-2020-0601
来週1月28日(日本時間では1月29日かな)に Go 1.13.7 のリリースがあるようだ(予定は未定)。
Go 1.13.7 にはセキュリティ・アップデートが含まれる。
These are minor releases that include two security fixes. One mitigates the CVE-2020-0601 certificate verification bypass on Windows. The other affects only 32-bit architectures.
CVE-2020-0601 は Windows CryptoAPI の不備で楕円曲線暗号(ECC)を使った証明書の検証がバイパスされてしまうというもの。 これによって証明書の偽装ができてしまう。 あとは分かるね。
CVSSv3 の評価は以下の通り。
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | なし |
スコアは 8.1 (深刻度:重要)1。
ただし,この脆弱性は1月の Windows Update で修正されている筈である。 つか,私はもう関係ないので完全にスルーしていた(笑)
今回の CVE-2020-0601 の特徴は NSA が絡んでいる点である。
NSA の思惑は分からない。 しかし
She did not answer when asked how long ago the NSA discovered the vulnerability. She said that this is not the first time the NSA sent Microsoft a vulnerability to fix, but it was the first time it has publicly taken credit for the discovery.
とある通り(どこぞの馬鹿メディアが言ってたみたいな)別に NSA の「お手柄」でもなんでもなく,政治的な思惑があって色々と天秤にかけた結果「公表」したということだろう。 まっ,国家の諜報機関なのだから当たり前だが(笑)
というわけで,自前で防衛手段を持つというのは悪い話ではない。
ブックマーク
- Critical Windows Vulnerability Discovered by NSA - Schneier on Security
- Windowsの暗号化機能に致命的な脆弱性、証明書偽装の恐れ ~米国家安全保障局が警告 - 窓の杜
参考図書
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。
- 暗号化 プライバシーを救った反乱者たち
- スティーブン・レビー (著), 斉藤 隆央 (翻訳)
- 紀伊國屋書店 2002-02-16
- 単行本
- 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
- 評価
20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!
- イミテーション・ゲーム/エニグマと天才数学者の秘密(字幕版)
- ベネディクト・カンバーバッチ (出演), キーラ・ナイトレイ (出演), マシュー・グード (出演), ロリー・キニア (出演), モルテン・ティルドゥム (監督), グラハム・ムーア (Writer)
- (Release 2015-10-02)
- Prime Video
- B015SAFU42 (ASIN)
- 評価
主人公であるアラン・チューリングは今もなお「天才」と称される数学者であり,「コンピュータの父」と呼ばれるほどの偉人である。そしてチューリングの偉業のひとつが,旧ナチス・ドイツの暗号機械「エニグマ」の解読である。作品はそのエニグマの解読を主軸に物語を展開していく。感想はこちら。
-
CVSSv3 ではスコア7.0以上なら速やかな対応が求められる。アップデートは計画的に(笑) ↩︎