[security] Go 1.16.6 and Go 1.15.14 are released
以下雑訳。
これらのマイナーリリースには、新しいセキュリティポリシーに基づくセキュリティ修正が含まれています(#44918)。
crypto/tlsクライアントが、ネゴシエートされたパラメータに対して誤ったタイプの証明書を提供された場合にパニックを起こすことがあります。
また、HTTPS リクエストを実行する net/http クライアントも影響を受けます。パニックは、ネットワーク上の特権的な立場にある攻撃者が
パニックは、サーバー証明書の秘密鍵にアクセスできないネットワーク上の特権的な立場にいる攻撃者が、信頼できる
ECDSA 証明書または Ed25519 証明書が存在する(または発行可能である)か、またはクライアントに
Config.InsecureSkipVerifyを設定しています。すべてのTLS_RSA暗号スイート(ECDHEを含まないTLS 1.0~1.2暗号スイート)を無効にするクライアントは
スイートを無効にしているクライアントや、TLS 1.3 のみのクライアントは影響を受けません。これはissue #47143およびCVE-2021-34558です。この問題を報告してくださった Imre Rad さんに感謝します。
https://groups.google.com/g/golang-announce/c/n9FxMelZGAQ/m/4ZhvTx0dAQAJ?pli=1
詳細については、リリースノートをご覧ください。
バイナリおよびソースの配布物は、Goのウェブサイトからダウンロードできます。
Git クローンを使ってソースからコンパイルするには、次のようにしてリリースに更新します。
“git checkout go1.16.6” でリリース版にアップデートし、通常通りビルドします。
リリースにご協力いただいた皆様、ありがとうございました。
乾杯
GoチームのDmitri、Filippo、Alexです。
コメント