米GoogleのGo言語の開発チームは、Goに対して指摘されていたmath/bigパッケージの問題を解消した「Go 1.5.3」を、1月13日(現地時間)にリリースした。なお、Goで作成したプログラムにおけるセキュリティ面の問題を解消するには、同バージョンで再コンパイルする必要がある。
今回指摘されていた問題は、RSAの処理におけるcrypto/rsaに影響を及ぼす。crypto/rsaは、crypto/tlsで用いられており、32ビットシステム上のTLSサーバではRSAプライベート鍵が流出してしまう可能性があった。
この問題は、RSAにおける中国の剰余定理における誤った処理結果に起因し、攻撃者から送られたこの問題を利用した入力をRSA blindingが防ぐ間にも、32ビットシステム上では2^26回の問題が発生する。そして、6400万あまりのシグネチャが、プライベート鍵を保持するサーバから抜き取られてしまう。
一方、64ビットシステムでは、問題の発生周期が遙かに小さいため、上述のような攻撃は起こりにくいが、念のためにアップグレードを推奨する。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
