Go 1.5.4/1.6.1
Go 1.5.4 と 1.6.1 のリリース案内が Google Group で周知されていた。
影響範囲を理解するために少し追ってみた。
他に情報が無いか調べてみると、reddit で以下のポストを見つけた。
Go 1.5.4 and Go 1.6.1 pre-announcement : golang
oss-sec: CVE request - Go : golang
それぞれ読むと内容はセキュリティの修正で、
oss-sec: CVE request - Go - DLL loading, Big int
が詳細。
一つ目
Windows における DLL ロードの問題で、実行環境によっては悪意のある DLL をロードされる可能性があるということだと思う。
例にもあるが、相対パスロードを許可していたのか、いわゆるダウンロードフォルダのような場所で実行するとまずいようだった。(環境がないので確認していない)
自分でビルドしたうえで適切なパスに実行ファイルを置いているのであれば問題ないのではないかと思う。
二つ目
巨大な整数値を扱うときに無限ループすることがあったとのこと。
HTTPS client authentication or the Go ssh server libraries are both exposed to this vulnerability
と説明されており、特定の整数に問題があるというよりは使われ方に問題があったよう。
パッチを見る限り crypto/dsa の修正なのでこのあたりを利用している場合は注意したほうが良いだろう。
まとめ
リリース自体は日本時間の4/13 9:00 ぐらいに予定されているので心当たりのある人は早めに、
そうでなくとも上げておくのが間違いないと思う。