go 1.5.3
go 1.5.3 がリリースされ、いつもと雰囲気が異なっていたので少しまとめてみた。
まず、 golang-announce に [security] Go 1.5.3 pre-announcement が投稿された。
セキュリティ問題を解消するリリースはこのように事前アナウンスが行われるようだ。
重要な内容なのでみんな準備しておいてね ということだと理解している。
そしてリリースの案内 [security] Go 1.5.3 is released が以下に投稿されていた。*1
修正されたバグを用いると、32bit 環境で動く TLS server で rsa の private key が漏れてしまうという内容に読めた。
64bit 環境であれば確率がかなり低いため悪用は難しいだろうとのこと。(逆に言えば 32bit 環境においてはかなり厳しいのかなという印象)
バグ自体は go 1.5 から入ったようなので、1.5, 1.5.1, 1.5.2 を使っている人は早く 1.5.3 にあげて、コンパイル済みのバイナリをリコンパイルしたほうがよいと思う。
ところで特定バイナリがどのバージョンでコンパイルされたか知る方法はあるのかな...とりあえず全部コンパイルしまくろうかな。
*1:私はこの分野の専門家ではないため解釈に誤りがあるかもしれません。誤りがある場合は是非に指摘をお願いします