Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

Google、セキュリティの問題を解消した「Go 1.5.3」をリリース

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/01/14 14:00

 米GoogleのGo言語の開発チームは、Goに対して指摘されていたmath/bigパッケージの問題を解消した「Go 1.5.3」を、1月13日(現地時間)にリリースした。なお、Goで作成したプログラムにおけるセキュリティ面の問題を解消するには、同バージョンで再コンパイルする必要がある。

 今回指摘されていた問題は、RSAの処理におけるcrypto/rsaに影響を及ぼす。crypto/rsaは、crypto/tlsで用いられており、32ビットシステム上のTLSサーバではRSAプライベート鍵が流出してしまう可能性があった。

 この問題は、RSAにおける中国の剰余定理における誤った処理結果に起因し、攻撃者から送られたこの問題を利用した入力をRSA blindingが防ぐ間にも、32ビットシステム上では2^26回の問題が発生する。そして、6400万あまりのシグネチャが、プライベート鍵を保持するサーバから抜き取られてしまう。

 一方、64ビットシステムでは、問題の発生周期が遙かに小さいため、上述のような攻撃は起こりにくいが、念のためにアップグレードを推奨する。


【関連リンク】
Google
Go(英語)

  • LINEで送る
  • このエントリーをはてなブックマークに追加

おすすめ記事

All contents copyright © 2006-2016 Shoeisha Co., Ltd. All rights reserved. ver.1.5