Go 1.26がセキュリティアップデートと共にリリース

Go開発チームは、Goバージョン1.26のリリースを発表しました。これには、既存のバージョン1.25.6および1.24.12も含まれ、深刻なセキュリティ脆弱性6件に対応しています。これらの修正は、サービス拒否（DoS）攻撃、任意のコード実行、および不正なセッション再開につながる可能性のある複数の問題に対処し、コアな暗号化、ネットワーキング、ツールチェインコンポーネント全体で大幅なセキュリティ強化が図られています。

主要な脆弱性とその影響

最も深刻な脆弱性の一つは、net/httpパッケージのRequest.ParseForm関数におけるメモリ枯渇の欠陥です。URLエンコードされたフォームデータの検証が不十分であったため、予期せぬメモリ割り当てが発生し、悪意のある攻撃者がシステムメモリを枯渇させ、アプリケーションを応答不能に陥れる可能性がありました。

また、archive/zipパッケージにもDoSリスクがありました。これは、非効率なスーパーリニアファイルインデックスアルゴリズムを使用しており、悪意のあるZIPアーカイブを処理する際に深刻なパフォーマンス低下を引き起こす可能性がありました。

暗号化およびツールチェインの脆弱性

crypto/tlsモジュールでは、認証バイパスと通信の整合性侵害につながる可能性のあるセッション再開の欠陥が発見されました。Config.Cloneがセッションチケットキーを誤ってコピーし、異なる構成間でのセッション再開を許してしまう問題や、サーバーサイドの実装が証明書チェーンの有効期限を適切に検証しない問題がありました。

さらに、cmd/goツールチェインには、VCS（バージョン管理システム）連携を悪用したリモートコード実行（RCE）の経路が特定されました。具体的には、CgoPkgConfigフラグのサニタイズバイパスにより、pkg-configに安全でないコンパイラフラグが渡される可能性や、MercurialシステムでのVCSコマンド構築、Gitの悪意のあるバージョン文字列が任意ファイルへの書き込みを可能にする問題がありました。

開発者への推奨事項

これらの脆弱性は、Goアプリケーションの安定性、セキュリティ、および完全性に重大なリスクをもたらします。開発者は、これらの攻撃ベクトルを排除するために、直ちにGoのバージョンを最新にアップデートすることが強く推奨されます。

• CVE-2025-61728: archive/zip – スーパーリニアインデックスアルゴリズムによるDoS
• CVE-2025-61726: net/http – メモリ枯渇およびDoS
• CVE-2025-68121: crypto/tls – 不正なセッション再開と認証バイパス
• CVE-2025-61731: cmd/go – 無害化されていないコンパイラフラグを介した任意のコード実行
• CVE-2025-68119: cmd/go – リモートコード実行および任意のファイル書き込み
• CVE-2025-61730: crypto/tls – ネットワークローカルインジェクションによる軽微な情報漏洩

元記事: https://gbhackers.com/go-1-26-released-with-fixes-for-multiple-vulnerabilities/