こんにちは。Tomoyuki(@tomoyuki65)です。
2024年9月6日にGo言語(Golang)の1.23.1と1.22.7のリリース情報が出ましたのでお知らせします。
下記にGoogle翻訳による日本語バージョンを記載しておきますが、翻訳が間違っている可能性もあるため、詳しく知りたい方は以下リンクのリリース情報の原文をご確認下さい。
>> [security] Go 1.23.1 and Go 1.22.7 are released
Go言語(Golang)1.23.1と1.22.7のリリース情報【2024年9月6日】
これらのマイナーリリースには、セキュリティポリシーに従った3つのセキュリティ修正が含まれています。
・go/parser:すべての Parse* 関数でスタックが枯渇する
深くネストされたリテラルを含むGoソースコードでParse関数のいずれかを呼び出すと、スタック不足によりパニックが発生する可能性があります。
これはCVE-2024-34155およびGoの問題https://go.dev/issue/69138です。
深くネストされた構造を含むメッセージに対してDecoder.Decodeを呼び出すと、スタック枯渇によりパニックが発生する可能性があります。
これはCVE-2022-30635のフォローアップです。
この問題を報告してくださったオハイオ州立大学の Md Sakib Anwar 氏( anwa…@osu.edu )に感謝します。
これはCVE-2024-34156およびGoの問題https://go.dev/issue/69139です。
深くネストされた式を含む”// +build”ビルドタグ行でParseを呼び出すと、スタック枯渇によりパニックが発生する可能性があります。
これはCVE-2024-34158およびGoの問題https://go.dev/issue/69141です。
最後
今回はGo言語(Golang)の1.23.1と1.22.7のリリース情報についてお知らせしました。
Go言語は定期的にバージョンアップされるため、プロダクトで利用している場合は適宜リリース情報を確認するようにして下さい。
コメント