Googleが開発したプログラミング言語「Go」に5件の脆弱性

「Go 1.22.1」「Go 1.21.8」がリリース

　「Go 1.22.1」「Go 1.21.8」が、3月6日（日本時間）に公開された。以下の5件の脆弱性を修正したセキュリティアップデートとなっている。

• CVE-2024-24783：「Certificate.Verify」がパニックを起こす（crypto/x509）
• CVE-2023-45290：マルチパートフォームのサイズ制限が適用されないことがあり、悪意ある入力でメモリ枯渇を起こす（net/http）
• CVE-2023-45289：細工を施したHTTPリダイレクトでセンシティブなヘッダーが予期せず転送される（net/http）
• CVE-2024-24785：「MarshalJSON」メソッドから返されるエラーにユーザーが制御するデータが含まれていると自動エスケープ処理が破壊され、テンプレートに予期しないコンテンツを注入できてしまう（html/template）
• CVE-2024-24784：「ParseAddressList」関数が表示名内のコメントを正しく処理しない（net/mail）

　「Go」言語のバイナリは現在、公式サイト「golang.org」から無償でダウンロード可能。Windows/Mac/Linuxなどに対応しており、Windows版は64bit版のWindows 10以降で利用できる。

🐕 Go 1.22.1 and 1.21.8 are released!

🔐 Security: Includes security fixes for crypto/x509, html/template, net/http, net/http/cookiejar, and net/mail.

📣 Announcement:https://t.co/9yd3pvCOpr

⬇️ Download:https://t.co/oJoKAI1CBS#golangpic.twitter.com/s0uzCwb8dW

— Go (@golang)March 5, 2024