go 1.5.3 がリリースされ、いつもと雰囲気が異なっていたので少しまとめてみた。

まず、 golang-announce に [security] Go 1.5.3 pre-announcement が投稿された。

セキュリティ問題を解消するリリースはこのように事前アナウンスが行われるようだ。

重要な内容なのでみんな準備しておいてね ということだと理解している。

そしてリリースの案内 [security] Go 1.5.3 is released が以下に投稿されていた。*1

修正されたバグを用いると、32bit 環境で動く TLS server で rsa の private key が漏れてしまうという内容に読めた。

64bit 環境であれば確率がかなり低いため悪用は難しいだろうとのこと。(逆に言えば 32bit 環境においてはかなり厳しいのかなという印象)

バグ自体は go 1.5 から入ったようなので、1.5, 1.5.1, 1.5.2 を使っている人は早く 1.5.3 にあげて、コンパイル済みのバイナリをリコンパイルしたほうがよいと思う。

ところで特定バイナリがどのバージョンでコンパイルされたか知る方法はあるのかな...とりあえず全部コンパイルしまくろうかな。